كيف استخدم المتسللون الكوريون الشماليون LinkedIn والهندسة الاجتماعية لسرقة 3.4 مليار دولار من العملات المشفرة؟

المؤلف: إريك جوهانسون وتايلر بيرسون، DL News

تم إعداده بواسطة: فيليكس، PANews

سرق المتسللون الكوريون الشماليون ما لا يقل عن 3.4 مليار دولار من العملات المشفرة، جزئيًا من خلال هجمات LinkedIn.

الرقم 3.4 مليار دولار هو المبلغ الإجمالي لهجمات القرصنة المتعلقة بمجموعة Lazarus في كوريا الشمالية منذ عام 2007، بما في ذلك هجوم 2022 على Horizon، جسر الأصول عبر السلسلة بين Ethereum وHarmony، مع خسارة حوالي 100 مليون دولار. سرقة المحفظة الذرية عام 2023 بقيمة تزيد عن 35 مليون دولار وهجوم برنامج الفدية WannaCry عام 2017.

وقال هيو بروكس، مدير العمليات الأمنية في شركة CertiK للبلوكتشين: "كانت مجموعة Lazarus مصدرًا رئيسيًا للدخل للنظام الكوري الشمالي".

ما قد يكون أقل شهرة هو كيفية استخدام المتسللين لمنصات التوظيف مثل LinkedIn لإجراء الهندسة الاجتماعية* (ملاحظة: تشير الهندسة الاجتماعية إلى نوع من التطفل لا يقتصر على تكنولوجيا الكمبيوتر البحتة. فهو يعتمد في الغالب على التفاعل والتواصل بين البشر، وعادةً ما يتضمن خداع الآخرين ويستخدمه لتخريب العمليات الأمنية العادية لتحقيق أهداف المهاجم، والتي قد تشمل الحصول على معلومات محددة يريدها المهاجم)* وهجمات التصيد الاحتيالي.

وتعد "عملية In(ter)ception" التي أطلقتها عصابات الجريمة السيبرانية في عام 2019 مثالا حيا على ذلك.

وفقًا لشركة الأمن السيبراني ESET، تستهدف Lazarus Group الشركات العسكرية وشركات الطيران في أوروبا والشرق الأوسط، وتنشر إعلانات الوظائف على LinkedIn والمنصات الأخرى لخداع الباحثين عن عمل، مما يتطلب من الباحثين عن عمل تنزيل ملفات PDF مع ملفات قابلة للتنفيذ مضمنة، للهجوم الرقمي.

تحاول كل من هجمات الهندسة الاجتماعية والتصيد الاحتيالي استخدام التلاعب النفسي لخداع الضحايا لتقليل حذرهم والانخراط في سلوك يهدد الأمن مثل النقر على رابط أو تنزيل ملف. تتيح برامجهم الضارة للمتسللين استهداف نقاط الضعف في أنظمة الضحايا وسرقة المعلومات الحساسة.

استخدمت مجموعة Lazarus أساليب مماثلة خلال عملية استمرت ستة أشهر ضد مزود مدفوعات العملات المشفرة CoinsPaid، مما أدى إلى سرقة 37 مليون دولار في 22 يوليو من هذا العام.

كشفت CoinsPaid أنه في مارس من هذا العام، تلقى مهندسو CoinsPaid قائمة من الأسئلة حول البنية التحتية التقنية من ما يسمى بـ "شركة أوكرانية ناشئة لمعالجة العملات المشفرة". وفي يونيو/حزيران ويوليو/تموز، تلقى المهندسون عروض عمل زائفة. في 22 يوليو، اعتقد أحد الموظفين أنه يجري مقابلة للحصول على وظيفة مربحة وقام بتنزيل البرامج الضارة كجزء مما يسمى بالاختبار الفني.

في السابق، كانت مجموعة الهاكر قد أمضت 6 أشهر في التعرف على CoinsPaid، بما في ذلك جميع التفاصيل الممكنة مثل أعضاء الفريق وهيكل الشركة. عندما قام الموظف بتنزيل الكود الخبيث، تمكن المتسلل من الوصول إلى أنظمة CoinsPaid ومن ثم استغلال ثغرة البرنامج لتزوير طلبات الترخيص وسحب الأموال من محفظة CoinsPaid الساخنة بنجاح.

طوال فترة الهجوم، أطلق المتسللون هجمات تقنية مثل رفض الخدمة الموزعة* (ملاحظة: يُشار إلى هجوم رفض الخدمة الموزعة باسم DDoS. يحاول هذا النوع من هجوم الشبكة إغراق موقع الويب أو موارد الشبكة بحركة مرور ضارة، مما يتسبب في موقع الويب أو تصبح موارد الشبكة غير قابلة للتشغيل. التشغيل العادي. في هجوم رفض الخدمة الموزعة (DDoS)، يرسل المهاجم كميات هائلة من حركة مرور الإنترنت غير المطلوبة فعليًا، مما يؤدي إلى استنفاد موارد الهدف والتسبب في فشل حركة المرور العادية في الوصول إلى الهدف المقصود الوجهة)*، ونوع من الهجوم يُعرف بإستراتيجية القوة الغاشمة - أرسل كلمة المرور الخاصة بك عدة مرات على أمل تخمينها بشكل صحيح في النهاية.

تُعرف المجموعة أيضًا باستغلال هجمات اليوم صفر* (ملاحظة: ثغرات اليوم صفر أو ثغرات اليوم صفر تشير عادةً إلى الثغرات الأمنية التي لم يتم تصحيحها بعد، بينما تشير هجمات اليوم صفر أو ثغرات اليوم صفر إلى الهجمات التي تستغل هذه الثغرات الأمنية تقدم تفاصيل الثغرة أو الشخص الذي يستغل البرنامج عادة ما يكون هو مكتشف الثغرة الأمنية، ويشكل برنامج استغلال ثغرات اليوم الصفري تهديدًا كبيرًا لأمن الشبكات، لذلك فإن ثغرات اليوم الصفري ليست فقط المفضلة لدى المتسللين، ولكن أيضًا عدد نقاط الضعف التي تم إتقانها في يوم الصفر أصبح عاملاً في تقييم المستوى الفني للمتسللين.معلمة مهمة)* ونشر البرامج الضارة لسرقة الأموال وإجراء التجسس والتخريب العام.

وفي عام 2019، فرضت وزارة الخزانة الأمريكية عقوبات على مجموعة لازاروس، وربطتها رسميًا بجواسيس من خدمة الاستطلاع في كوريا الشمالية. وتعتقد وزارة الخزانة الأمريكية أيضًا أن الجماعة تمول برامج الأسلحة النووية للدول الإرهابية.

قراءة ذات صلة: "الهاكر الكوري الشمالي" يجري مقابلة مع مهندس بلوكتشين: "العالم سيشهد نتائج عظيمة بين يدي"