هکرهای کره شمالی از سرویس ابری مشترک برای سرقت شرکت های رمزنگاری سوء استفاده کردند

North Korean hackers steal $497M in crypto from US businesses

رویترز در 20 جولای گزارش داد هکرهای دولتی کره شمالی از یک ارائه دهنده خدمات ابری به نام JumpCloud برای سرقت وجوه از شرکت های رمزنگاری که از خدمات آن استفاده می کنند سوء استفاده کردند.

منابع محرمانه رویتر نشان می دهد که هکرهای مورد حمایت دولت کره شمالی تمرکز خاصی روی شرکت های ارزهای دیجیتال داشته اند. با این حال، این گزارش نام شرکت‌های تحت تأثیر یا مقدار دقیق ارزهای دیجیتالی را که ظاهراً به سرقت رفته است، فاش نکرد.

Crowdstrike، یک شرکت امنیت سایبری که با JumpCloud برای بررسی این حادثه همکاری می کند، این حمله را به گروهی به نام Labyrinth Chollima نسبت داد. اگرچه نماینده Crowdstrike تایید نکرد که آیا ارز دیجیتال به سرقت رفته است، او به سابقه این گروه در هدف قرار دادن شرکت های ارزهای دیجیتال اشاره کرد.

JumpCloud در یک به روز رسانی در 20 جولای، کره شمالی را عامل این حمله اعلام کرد، همچنین فاش کرد که کمتر از پنج نفر از 200000 مشتری شرکتی و کمتر از 10 دستگاه تحت تأثیر قرار گرفته اند.

پیش از این، این شرکت یک کمپین فیشینگ نیزه ای را توصیف کرد که توسط یک «بازیگر تهدید پیشرفته با حمایت دولت ملت» انجام شد. این شرکت گفت که حمله در 22 ژوئن آغاز شد و گفت که آن فعالیت ها را در 27 ژوئن شناسایی کرده است.

JumpCloud گفت که هیچ نشانه ای مبنی بر اینکه مشتریان در آن زمان تحت تأثیر قرار گرفته اند پیدا نکرده است. با این وجود، این شرکت اعتبارنامه ها را به روز کرد و اقدامات بیشتری برای حفظ امنیت انجام داد. همچنین با مجریان قانون تماس گرفت. با این حال، در 5 ژوئیه، این شرکت فعالیت های دیگری را کشف کرد که مشتریان خود را تحت تأثیر قرار داد و آنها از وضعیت مطلع شدند.

JumpCloud می گوید مهاجمان پیشرفته هستند

JumpCloud مهاجمان را “متخاصمان پیچیده و پایدار با قابلیت های پیشرفته” خواند و گفت که بهترین دفاع شامل به اشتراک گذاری اطلاعات است.

JumpCloud گفت که بردار حمله شامل تزریق داده به چارچوب دستورات آن است. مشخص شد که این حمله بسیار هدفمند و مختص مشتریان خاصی بوده است. این حمله فهرستی از IOC ها (شاخص های سازش) را تولید کرد که JumpCloud آن ها را به اشتراک گذاشته است.

مهاجمان کره شمالی در سایر حملات کریپتو از جمله حملات علیه Axie Infinity و Horizon Bridge شرکت داشته اند. تخمین‌های Chainalysis نشان می‌دهد که گروه‌های کره‌شمالی 1.7 میلیارد دلار در میان 3.8 میلیارد دلار سرقت رمزنگاری گسترده‌تر در سال 2022 به سرقت برده‌اند.

پستی که هکرهای کره شمالی از سرویس ابری مشترک برای سرقت از شرکت های رمزنگاری سوء استفاده کردند اولین بار در CryptoSlate ظاهر شد.