شرکتهای پوششی کره شمالی، با جعل هویت شرکتهای فناوری اطلاعات آمریکایی، برنامههای موشکی خود را تامین مالی میکنند!
به گزارش زوم تک از هکر نیوز، بازیگران تهدید مرتبط با کره شمالی با جعل هویت شرکتهای مشاوره نرمافزاری و فناوری مستقر در ایالات متحده، در تلاش برای پیشبرد اهداف مالی خود در قالب یک طرح گسترده کارگران فناوری اطلاعات هستند.
محققان امنیتی SentinelOne، تام هگل و داکوتا کری، در گزارشی اعلام کردند: “شرکتهای پوششی، که اغلب در چین، روسیه، آسیای جنوب شرقی و آفریقا مستقر هستند، نقش کلیدی در پنهان کردن هویت واقعی کارگران و مدیریت پرداختها دارند.”
شبکه کارگران فناوری اطلاعات کره شمالی، چه به صورت انفرادی و چه تحت پوشش شرکتهای پوششی، به عنوان روشی برای دور زدن تحریمهای بینالمللی اعمال شده علیه این کشور و تولید درآمدهای غیرقانونی تلقی میشود.
این کمپین جهانی که توسط Palo Alto Networks Unit 42 با نام Wagemole نیز ردیابی میشود، شامل استفاده از هویتهای جعلی برای استخدام در شرکتهای مختلف در ایالات متحده و سایر نقاط جهان است. این افراد بخش زیادی از دستمزد خود را به کره شمالی ارسال میکنند تا برنامههای تسلیحات کشتار جمعی و موشکهای بالستیک این کشور را تامین مالی کنند.
در اکتبر ۲۰۲۳، دولت ایالات متحده اعلام کرد که ۱۷ وبسایت را که خود را به عنوان شرکتهای خدمات فناوری اطلاعات مستقر در ایالات متحده معرفی کرده بودند، توقیف کرده است. این وبسایتها با پنهان کردن هویت و موقعیت مکانی واقعی کارگران فناوری اطلاعات، به آنها اجازه میدادند تا برای انجام کار از راه دور در سراسر جهان به صورت آنلاین درخواست دهند و از این طریق شرکتها را در داخل و خارج از این کشور فریب دهند.
مشخص شد که این کارگران فناوری اطلاعات برای دو شرکت مستقر در چین و روسیه، به نامهای Yanbian Silverstar Network Technology Co. Ltd. و Volasys Silver Star کار میکردند.
وزارت دادگستری ایالات متحده در آن زمان خاطرنشان کرد: “این کارگران فناوری اطلاعات، درآمد حاصل از کار متقلبانه خود را از طریق استفاده از خدمات پرداخت آنلاین و حسابهای بانکی چینی به کره شمالی منتقل میکردند.”
SentinelOne، که چهار شرکت پوششی جدید کارگران فناوری اطلاعات کره شمالی را تجزیه و تحلیل کرد، اعلام کرد که همه آنها از طریق NameCheap ثبت شدهاند و ادعا میکردند که مشاغل برونسپاری توسعه، مشاوره و نرمافزار هستند، در حالی که محتوای خود را از شرکتهای قانونی کپی میکردند.
همه سایتهای مذکور از ۱۰ اکتبر ۲۰۲۴ توسط دولت ایالات متحده توقیف شدهاند، اما SentinelOne اعلام کرد که آنها را به یک شبکه گستردهتر و فعال از شرکتهای پوششی با منشاء چین ردیابی کرده است.
علاوه بر این، این شرکت، شرکت دیگری به نام Shenyang Huguo Technology Ltd را شناسایی کرد که ویژگیهای مشابهی، از جمله استفاده از محتوای کپی شده و لوگوهای یک شرکت نرمافزاری هندی دیگر به نام TatvaSoft را نشان میدهد. این دامنه در اکتبر ۲۰۲۳ از طریق NameCheap ثبت شده است.
محققان گفتند: “این تاکتیکها نشاندهنده یک استراتژی عمدی و در حال تکامل است که از اقتصاد دیجیتال جهانی برای تامین مالی فعالیتهای دولتی، از جمله توسعه سلاح، استفاده میکند.”
“به سازمانها توصیه میشود فرآیندهای دقیق را برای بررسی دقیق پیمانکاران و تامینکنندگان بالقوه اجرا کنند تا خطرات را کاهش داده و از حمایت ناخواسته از چنین عملیات غیرقانونی جلوگیری کنند.”
این افشاگری پس از یافتههای Unit 42 منتشر شد که نشان میدهد یک خوشه فعالیت کارگران فناوری اطلاعات کره شمالی که آن را CL-STA-0237 مینامند، “در حملات فیشینگ اخیر با استفاده از برنامههای کنفرانس ویدیویی آلوده به بدافزار” برای ارائه بدافزار BeaverTail نقش داشته است که نشاندهنده ارتباط بین Wagemole و گروه نفوذ دیگری به نام Contagious Interview است.
این شرکت گفت: “CL-STA-0237 از یک شرکت خدمات فناوری اطلاعات کوچک و متوسط مستقر در ایالات متحده برای درخواست مشاغل دیگر سوءاستفاده کرد.” “در سال ۲۰۲۲، CL-STA-0237 موفق به کسب موقعیتی در یک شرکت بزرگ فناوری شد.”
در حالی که ماهیت دقیق رابطه بین بازیگر تهدید و شرکت مورد سوءاستفاده مشخص نیست، اعتقاد بر این است که CL-STA-0237 یا اعتبارنامههای شرکت را سرقت کرده یا به عنوان کارمند برونسپاری استخدام شده است و اکنون خود را به عنوان شرکت معرفی میکند تا مشاغل فناوری اطلاعات را به دست آورد و جویندگان کار بالقوه را با بدافزار تحت پوشش انجام مصاحبه هدف قرار دهد.
Unit 42 با اشاره به اینکه این خوشه احتمالاً از لائوس فعالیت میکند، گفت: “بازیگران تهدید کره شمالی در تولید درآمد برای تامین مالی فعالیتهای غیرقانونی کشور خود بسیار موفق بودهاند.”
“آنها با جعل هویت کارگران فناوری اطلاعات برای کسب جریانهای درآمدی پایدار شروع کردند، اما اکنون به نقشهای تهاجمیتر، از جمله مشارکت در تهدیدات داخلی و حملات بدافزاری روی آوردهاند.”
نظرات در مورد : رمزگشایی از عملیات سایبری کره شمالی: درآمدزایی موشکی با هویتهای جعلی آمریکایی