چگونه محققان متوجه هکرهای کره شمالی در پشت نفوذ شرکت نرم افزاری ایالات متحده شدند

هفته گذشته، گزارش شد که یک گروه هکر کره شمالی به شرکت نرم‌افزار سازمانی مستقر در ایالات متحده، JumpCloud، نفوذ کرده و سپس از آن به عنوان سکوی پرش برای نفوذ بیشتر به تعدادی ناشناس از شرکت‌های ارزهای دیجیتال با انگیزه سرقت پول استفاده کرده است. محققان امنیتی اکنون دلایلی را فهرست کرده اند که چرا آنها مطمئن هستند که هکرهای کره شمالی پشت این نفوذ بوده اند.

محققان گفتند که هکرها هنگام ورود غیرقانونی به سیستم ها اشتباه کردند. به گفته Mandiant، یک شرکت امنیت سایبری و زیرمجموعه گوگل که به یکی از مشتریان آسیب دیده JumpCloud کمک می کند، ادعا کرده است که هکرها برای اداره عمومی شناسایی کره شمالی یا RGB کار می کردند.

گفته می‌شود که RGB شرکت‌های ارزهای دیجیتال را هدف قرار می‌دهد و رمزهای عبور را می‌دزدد تا برای برنامه‌های تسلیحات هسته‌ای سرمایه‌گذاری کند.

در وبلاگی می‌گوید: «ماندیانت این نفوذها را به UNC4899، یک بازیگر ارتباطی جمهوری دموکراتیک خلق کره (DPRK) با سابقه هدف قرار دادن شرکت‌ها در حوزه ارزهای دیجیتال نسبت داد.

هکرها چه اشتباهی مرتکب شدند؟
Mandiant اشاره کرد که هکرها از VPN برای مخفی کردن مکان و آدرس IP خود استفاده می کنند تا دستگیر نشوند. با این حال، واحد هک کره شمالی به اشتباه آدرس IP آنها را فاش کرد. این به دلیل این واقعیت بود که در “بسیاری موارد” VPN ها کار نمی کردند یا هکرها هنگام دسترسی به شبکه قربانی از آنها استفاده نمی کردند.

این لغزش عملیاتی دسترسی آنها را فاش کرد و شرکت امنیت سایبری مشاهده کرد که عامل تهدید مستقیماً به یک IP پیونگ یانگ وارد می شود.

“علاوه بر این، Mandiant قادر به کشف زیرساخت های اضافی به دلیل این واقعیت است که یک رکورد PTR هرگز نسبت به عملیات قبلی تغییر نکرده است. Mandiant قبلا دامنه wasxxv را شناسایی کرده است.[.]این سایت توسط عوامل تهدید کننده کره شمالی استفاده می شود.”

پیش از این، شرکت امنیت سایبری CrowdStrike Holdings و محقق امنیت سایبری تام هگل نیز گفته بودند که نفوذ JumpCloud توسط هکرهای کره شمالی انجام شده است که در هک نرم افزار ماهر شده اند.

فیس بوکتوییترلینکدین

پایان مقاله