آنتی ویروس پادویش

رمزگشایی از عملیات سایبری کره شمالی: درآمدزایی موشکی با هویت‌های جعلی آمریکایی

عملیات سایبری کره شمالی

شرکتهای پوششی کره شمالی، با جعل هویت شرکتهای فناوری اطلاعات آمریکایی، برنامه‌های موشکی خود را تامین مالی می‌کنند!
به گزارش زوم تک از هکر نیوز، بازیگران تهدید مرتبط با کره شمالی با جعل هویت شرکت‌های مشاوره نرم‌افزاری و فناوری مستقر در ایالات متحده، در تلاش برای پیشبرد اهداف مالی خود در قالب یک طرح گسترده کارگران فناوری اطلاعات هستند.

تبلیغ

محققان امنیتی SentinelOne، تام هگل و داکوتا کری، در گزارشی اعلام کردند: “شرکت‌های پوششی، که اغلب در چین، روسیه، آسیای جنوب شرقی و آفریقا مستقر هستند، نقش کلیدی در پنهان کردن هویت واقعی کارگران و مدیریت پرداخت‌ها دارند.”

شبکه کارگران فناوری اطلاعات کره شمالی، چه به صورت انفرادی و چه تحت پوشش شرکت‌های پوششی، به عنوان روشی برای دور زدن تحریم‌های بین‌المللی اعمال شده علیه این کشور و تولید درآمدهای غیرقانونی تلقی می‌شود.

این کمپین جهانی که توسط Palo Alto Networks Unit 42 با نام Wagemole نیز ردیابی می‌شود، شامل استفاده از هویت‌های جعلی برای استخدام در شرکت‌های مختلف در ایالات متحده و سایر نقاط جهان است. این افراد بخش زیادی از دستمزد خود را به کره شمالی ارسال می‌کنند تا برنامه‌های تسلیحات کشتار جمعی و موشک‌های بالستیک این کشور را تامین مالی کنند.

در اکتبر ۲۰۲۳، دولت ایالات متحده اعلام کرد که ۱۷ وب‌سایت را که خود را به عنوان شرکت‌های خدمات فناوری اطلاعات مستقر در ایالات متحده معرفی کرده بودند، توقیف کرده است. این وب‌سایت‌ها با پنهان کردن هویت و موقعیت مکانی واقعی کارگران فناوری اطلاعات، به آنها اجازه می‌دادند تا برای انجام کار از راه دور در سراسر جهان به صورت آنلاین درخواست دهند و از این طریق شرکت‌ها را در داخل و خارج از این کشور فریب دهند.

مشخص شد که این کارگران فناوری اطلاعات برای دو شرکت مستقر در چین و روسیه، به نام‌های Yanbian Silverstar Network Technology Co. Ltd. و Volasys Silver Star کار می‌کردند.

وزارت دادگستری ایالات متحده در آن زمان خاطرنشان کرد: “این کارگران فناوری اطلاعات، درآمد حاصل از کار متقلبانه خود را از طریق استفاده از خدمات پرداخت آنلاین و حساب‌های بانکی چینی به کره شمالی منتقل می‌کردند.”

SentinelOne، که چهار شرکت پوششی جدید کارگران فناوری اطلاعات کره شمالی را تجزیه و تحلیل کرد، اعلام کرد که همه آنها از طریق NameCheap ثبت شده‌اند و ادعا می‌کردند که مشاغل برون‌سپاری توسعه، مشاوره و نرم‌افزار هستند، در حالی که محتوای خود را از شرکت‌های قانونی کپی می‌کردند.

همه سایت‌های مذکور از ۱۰ اکتبر ۲۰۲۴ توسط دولت ایالات متحده توقیف شده‌اند، اما SentinelOne اعلام کرد که آنها را به یک شبکه گسترده‌تر و فعال از شرکت‌های پوششی با منشاء چین ردیابی کرده است.

علاوه بر این، این شرکت، شرکت دیگری به نام Shenyang Huguo Technology Ltd را شناسایی کرد که ویژگی‌های مشابهی، از جمله استفاده از محتوای کپی شده و لوگوهای یک شرکت نرم‌افزاری هندی دیگر به نام TatvaSoft را نشان می‌دهد. این دامنه در اکتبر ۲۰۲۳ از طریق NameCheap ثبت شده است.

محققان گفتند: “این تاکتیک‌ها نشان‌دهنده یک استراتژی عمدی و در حال تکامل است که از اقتصاد دیجیتال جهانی برای تامین مالی فعالیت‌های دولتی، از جمله توسعه سلاح، استفاده می‌کند.”

“به سازمان‌ها توصیه می‌شود فرآیندهای دقیق را برای بررسی دقیق پیمانکاران و تامین‌کنندگان بالقوه اجرا کنند تا خطرات را کاهش داده و از حمایت ناخواسته از چنین عملیات غیرقانونی جلوگیری کنند.”

این افشاگری پس از یافته‌های Unit 42 منتشر شد که نشان می‌دهد یک خوشه فعالیت کارگران فناوری اطلاعات کره شمالی که آن را CL-STA-0237 می‌نامند، “در حملات فیشینگ اخیر با استفاده از برنامه‌های کنفرانس ویدیویی آلوده به بدافزار” برای ارائه بدافزار BeaverTail نقش داشته است که نشان‌دهنده ارتباط بین Wagemole و گروه نفوذ دیگری به نام Contagious Interview است.

این شرکت گفت: “CL-STA-0237 از یک شرکت خدمات فناوری اطلاعات کوچک و متوسط مستقر در ایالات متحده برای درخواست مشاغل دیگر سوءاستفاده کرد.” “در سال ۲۰۲۲، CL-STA-0237 موفق به کسب موقعیتی در یک شرکت بزرگ فناوری شد.”

در حالی که ماهیت دقیق رابطه بین بازیگر تهدید و شرکت مورد سوءاستفاده مشخص نیست، اعتقاد بر این است که CL-STA-0237 یا اعتبارنامه‌های شرکت را سرقت کرده یا به عنوان کارمند برون‌سپاری استخدام شده است و اکنون خود را به عنوان شرکت معرفی می‌کند تا مشاغل فناوری اطلاعات را به دست آورد و جویندگان کار بالقوه را با بدافزار تحت پوشش انجام مصاحبه هدف قرار دهد.

Unit 42 با اشاره به اینکه این خوشه احتمالاً از لائوس فعالیت می‌کند، گفت: “بازیگران تهدید کره شمالی در تولید درآمد برای تامین مالی فعالیت‌های غیرقانونی کشور خود بسیار موفق بوده‌اند.”

“آنها با جعل هویت کارگران فناوری اطلاعات برای کسب جریان‌های درآمدی پایدار شروع کردند، اما اکنون به نقش‌های تهاجمی‌تر، از جمله مشارکت در تهدیدات داخلی و حملات بدافزاری روی آورده‌اند.”

به این پست امتیاز بدید

نظرات در مورد : رمزگشایی از عملیات سایبری کره شمالی: درآمدزایی موشکی با هویت‌های جعلی آمریکایی

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *