هشدار درباره هک ارزهای دیجیتال توسط هکرهای لازاروس

CISA ،FBI و وزارت خزانه‌داری ایالات متحده امروز هشدار دادند که گروه هکرهای Lazarus، ساکن کره شمالی، با استفاده از برنامه‌های تروجانیزه شده ارزهای دیجیتال شرکت‌هایی را در صنعت بلاک‌چین و ارز دیجیتال مورد هدف قرار داده‌اند.

مهاجمان برای فریب کارمندان شرکت‌های ارز دیجیتال، برای دانلود و اجرای برنامه‌های مخرب ارز دیجیتال در ویندوز و macOS از مهندسی اجتماعی استفاده می‌کنند.

در مرحله بعد، اپراتور‌های لازاروس از این ابزارهای تروجانیزه برای دسترسی به کامپیوترهای هدف، انتشار بدافزار در سرتاسر شبکه‌های آن‌ها و سرقت کلیدهای خصوصی استفاده می‌کنند. این عملیات امکان شروع تراکنش‌های جعلی بلاک‌چین و سرقت دارایی‌های رمزنگاری شده قربانیان را از کیف پول ارز دیجیتال آن‌ها فراهم می‌کند.

هکرهای لازاروس حملات خود را به چه وسیله‌ای انجام می‌دهند؟

در بیانیه مشترکی که چند روز پیش منتشر شد، آمده است: «حملات با ارسال تعداد زیادی پیام Spearphishing در پلتفرم‌های ارتباطی مختلف برای کارکنان شرکت‌های ارزهای دیجیتال (که اغلب در حوزه مدیریت سیستم یا عملیات توسعه نرم‌افزار (DevOps) کار می‌کنند) شروع می‌شود.»

پیام‌ها اغلب تقلیدی از دعوت‌نامه‌های استخدام هستند و برای ترغیب گیرندگان به دانلود برنامه‌های آلوده‌ی ارز دیجیتال، مشاغل پردرآمدی را به آن‌ها پیشنهاد می‌کنند. دولت ایالات متحده از این اپلیکیشن‌ها تحت عنوان TraderTraitor یاد می‌کند.

اپلیکیشن‌های TraiderTraitor، تروجانیزه شده بوده و ابزارهایی مبتنی بر الکترون و چندپلتفرمی هستند که با استفاده از جاوا اسکریپت و محیط اجرای Node.js توسعه یافته‌اند.

برنامه‌های TraderTraitor تقریباً همیشه از طریق وب‌سایت‌هایی که دارای طراحی مدرن هستند، ویژگی‌های دروغین برنامه‌های رمزنگاری فیک را تبلیغ می‌کنند.

آژانس‌های فدرال افزودند: « بسته‌هایی شامل  macOS آپدیت شده و نسخه‌های ویندوز ManuScrypt مشاهده شده اند. این بسته ها یک تروجان دسترسی از راه دور سفارشی (RAT) در خود داشته اند. این تروجان اطلاعات سیستم را جمع‌آوری می‌کند و توانایی اجرای دستورات دلخواه و دانلود بسته‌های اضافی را دارد.»

برنامه‌های مخرب TraderTraitor

در میان برنامه‌های مخرب ارز دیجیتال از دسته TraderTraitor، که در این کمپین‌ها استفاده می‌شوند، این برنامه‌ها جزو برجسته‌ترین‌ها هستند که باید از آن‌ها دوری کنید:

DAFOM: برنامه «سبد ارزهای دیجیتال» (macOS)

TokenAIS: ادعا می کند که به «ساخت مجموعه ای از معاملات ارزهای دیجیتال، برپایه هوش مصنوعی» کمک می کند. (macOS)

CryptAIS: ادعا می کند که به «ساخت مجموعه ای از معاملات مبتنی بر هوش مصنوعی» کمک می کند. (macOS)

Esilet: ادعا می‌کند که قیمت‌های زنده ارزهای دیجتال را آفر داده و رشد یا افت قیمت آن‌ها را پیش‌بینی می‌کند. (macOS)

CreAI Deck: ادعا می کند که پلتفرمی برای “هوش مصنوعی و یادگیری عمیق” است.  (ویندوز و macOS)

برنامه‌های تروجانیزه شده با استفاده از AppleJeus چه برنامه‌هایی هستند؟

در سال گذشته، FBI، CISA و وزارت خزانه‌داری ایالات متحده، اطلاعاتی را در  مورد برنامه‌های مخرب و جعلی تجارت ارزهای دیجیتال به اشتراک گذاشتند. این برنامه‌ها مجهز به بدافزار AppleJeus  بودند که  Lazarus از آن‌ها برای سرقت ارزهای دیجیتال از افراد و شرکت‌ها از سرتاسر جهان استفاده می‌کرد.

لیست برنامه های تروجانیزه شده با استفاده از AppleJeus شامل Celas Trade Pro، JMT Trading، Union Crypto، Kupay Wallet، CoinGoTrade، Dorusio، و Ants2Whale است.

وزارت دادگستری ایالات متحده سه عضو گروه لازاروس را به سرقت 1.3 میلیارد دلار پول و ارز دیجیتال، در طی حملات متعدد علیه بانک‌ها، صنعت سرگرمی، شرکت‌های ارز دیجیتال و سایر شرکت‌ها در سراسر جهان متهم کرد.

همچنین در سال 2019، گزارش محرمانه سازمان ملل متحد اعلام کرد که اپراتورهای کره شمالی در طی حداقل 35 حمله سایبری به بانک‌ها و مبادلات ارز دیجیتال، در بیش از 12 کشور، حدود 2 میلیارد دلار را سرقت کرده اند.

در همان سال، وزارت خزانه داری ایالات متحده سه گروه هکر  ساکن کره شمالی موسوم به Lazarus Group، Bluenoroff و Andarielرا به دلیل انتقال دارایی های مالی سرقت شده در حملات سایبری به دولت کره شمالی، تحریم کرد.