خطرناک‌ترین هکرهای دنیا؛ گروه TraderTraitor

در یک رویداد بی‌سابقه در عرصه ارزهای دیجیتال، هکرها با حمله به صرافی معتبر بای‌بیت (Bybit)، دومین صرافی بزرگ ارزهای دیجیتال جهان، کنترل یکی از کیف پول‌های رمزنگاری آن را به دست گرفته و موفق به سرقت حدود ۱.۵ میلیارد دلار توکن دیجیتال شدند. این سرقت که در تاریخ ۲۱ فوریه رخ داد، به عنوان بزرگترین سرقت رمزارز تاکنون به ثبت رسیده است.

گزارش‌ها حاکی از آن است که هکرها پس از دستیابی به این مبلغ هنگفت، به سرعت دارایی‌های مسروقه را بین ده‌ها کیف پول و سرویس رمزنگاری مختلف منتقل کردند تا رد فعالیت‌های خود را پیش از اقدام به نقد کردن وجوه پنهان باشد.

این حمله سایبری جسورانه، تمامی نشانه‌های حملات سایبری منتسب به یکی از گروه‌های نخبه هکری کره شمالی را دارا بوده است. در حالی که صرافی بای‌بیت با تدابیری نظیر استقراض ارزهای دیجیتال به فعالیت خود ادامه داده و طرحی برای پاداش‌دهی به افرادی که در ردیابی وجوه دزدیده شده کمک کنند، به اجرا گذاشته است، پلیس فدرال ایالات متحده (FBI) به سرعت انگشت اتهام را به سوی گروه TraderTraitor نشانه رفت.

حمله بزرگ و تاریخی گروه TraderTraitor

بررسی سوابق نشان می‌دهد که پیش از حمله به بای‌بیت، گروه TraderTraitor در سرقت‌های بزرگ دیگر ارزهای دیجیتال و همچنین نفوذ به زنجیره تامین نرم‌افزاری نیز دست داشته است. مایکل بارنهارت، محقق باسابقه امنیت سایبری با تمرکز بر کره شمالی و پژوهشگر شرکت امنیتی DTEX Systems، در این باره اظهار داشت:

«ما منتظر اتفاق بزرگ بعدی بودیم. آن‌ها کنار نرفتند. آن‌ها سعی نکردند متوقف شوند. آن‌ها به وضوح در حال طرح‌ریزی و برنامه‌ریزی بودند و اکنون این کار را انجام می‌دهند.»

هکرهای کره شمالی، در کنار هکرهای چین، روسیه و ایران، همواره به عنوان یکی از پیچیده‌ترین و خطرناک‌ترین تهدیدات سایبری برای دموکراسی‌های غربی تلقی می‌شوند. در حالی که تمامی این کشورها در فعالیت‌های جاسوسی و سرقت داده‌های حساس نقش دارند، عملیات سایبری کره شمالی اهداف متمایز خود را دنبال می‌کند:

“تامین مالی برنامه‌های هسته‌ای این کشور” به طور فزاینده‌ای، این هدف از طریق سرقت ارزهای دیجیتال محقق می‌شود.

بر اساس گزارش‌ها، دست‌کم در پنج سال گذشته، حکومت کیم جونگ اون، رهبر کره شمالی، متخصصان ماهر فناوری اطلاعات را برای نفوذ به شرکت‌های سراسر جهان و کسب درآمدی که به کشور بازگردانده می‌شود، اعزام کرده است. در برخی موارد، این کارگران پس از اخراج، با تهدید به انتشار اطلاعات حساس، از کارفرمایان سابق خود اخاذی می‌کنند.

همزمان، هکرهای کره شمالی، به عنوان بخشی از گروه گسترده‌تر لازاروس (Lazarus Group)، میلیاردها دلار ارز دیجیتال از صرافی‌ها و شرکت‌های مختلف در سراسر جهان به سرقت برده‌اند. گروه TraderTraitor، به عنوان زیرمجموعه‌ای از گروه بزرگتر لازاروس، مستقیما از اداره کل شناسایی، سازمان اطلاعاتی کره شمالی، هدایت می‌شود.

گروه TraderTraitor که توسط شرکت‌های امنیتی با نام‌های دیگری نظیر جید اسلیت (Jade Sleet)، اسلو پیسز (Slow Pisces) و UNC4899 نیز شناخته می‌شود، به طور ویژه به ارزهای دیجیتال علاقه‌مند است.

شِرود دِگریپو (Sherrod DeGrippo)، مدیر استراتژی اطلاعات تهدید در مایکروسافت، در این زمینه توضیح داد:

«آن‌ها از تکنیک‌های خلاقانه مختلفی برای ورود به بلاک‌چین، ارزهای دیجیتال و هر آنچه که با پلتفرم‌ها، انجمن‌های معاملاتی و امور مالی غیرمتمرکز مرتبط است، استفاده می‌کنند. گروه TraderTraitor یکی از پیچیده‌ترین گروه‌ها در این حوزه است.»

به گفته چندین محقق امنیت سایبری، گروه TraderTraitor برای نخستین بار در اوایل سال ۲۰۲۲ ظهور کرد و احتمالا شاخه‌ای از گروه APT38 کره شمالی است که پیش از این سیستم مالی سوئیفت (SWIFT) را هک کرده و در اوایل سال ۲۰۱۶ تلاش ناموفقی برای سرقت یک میلیارد دلار از بانک مرکزی بنگلادش داشت. بارنهارت در این باره می‌گوید:

«در آن لحظه شما یک تغییر واقعی و مهم داشتید.»

بارنهارت معتقد است که کره شمالی متوجه شده است که اتکا به افراد دیگر، مانند قاطرهای پول، می‌تواند اثربخشی عملیات‌های آن‌ها را کاهش دهد. در مقابل، آن‌ها می‌توانند مستقیما به سرقت ارزهای دیجیتال بپردازند. به گفته بارنهارت، دو گروه در نتیجه این تغییر تاکتیک ظهور کردند: CryptoCore و TraderTraitor.

او تاکید می‌کند:

«گروه TraderTraitor از همه پیچیده‌تر است. و چرا؟ زیرا APT38 تیم اصلی بود.»

از آن زمان، گروه TraderTraitor در سال‌های اخیر با چندین سرقت بزرگ ارزهای دیجیتال مرتبط بوده است. به عنوان مثال، سرقت ۳۰۸ میلیون دلاری در مارس ۲۰۲۴ از شرکت ارز دیجیتال DMM مستقر در ژاپن، توسط اف‌بی‌آی، وزارت دفاع و پلیس ژاپن به این گروه نسبت داده شده است.

گروه TraderTraitor معمولا افرادی را که در شرکت‌های Web3 مشغول به کار هستند، با استفاده از پیام‌های نیزه‌ای (spear-phishing) هدف قرار می‌دهد اغلب افرادی که در زمینه توسعه نرم‌افزار فعالیت می‌کنند. دگریپو از مایکروسافت می‌گوید:

«آن‌ها افرادی را که در این شرکت‌ها کار می‌کنند، شناسایی و ردیابی می‌کنند، برای آن‌ها پروفایل‌هایی ایجاد می‌کنند و می‌دانند کدام پلتفرم‌های معاملاتی بیشترین حجم را دارند. آن‌ها بر کل صنعت متمرکز شده‌اند و آن را به طور کامل درک می‌کنند.»

شرکت GitHub، متعلق به مایکروسافت، در ژوئیه ۲۰۲۳ فاش کرد که گروه TraderTraitor چگونه حساب‌های جعلی در پلتفرم کدنویسی گیت‌هاب، به علاوه لینکدین، اسلک و تلگرام ایجاد می‌کند. تحقیقات گیت‌هاب نشان می‌دهد که مجرمان این گروه می‌توانند شخصیت‌های جعلی ایجاد کنند و از آن‌ها برای ارسال پیام به اهداف خود یا استفاده از حساب‌های واقعی هک‌شده استفاده کنند.

در یک نمونه، گروه TraderTraitor از توسعه‌دهندگان دعوت کرد تا در گیت‌هاب همکاری کنند، پیش از آنکه در نهایت آن‌ها را با بدافزار از طریق کدهای مخرب آلوده کند. اخیرا، محققان امنیتی در تیم اطلاعات تهدید واحد ۴۲ شبکه پالو آلتو، ۵۰ پروفایل استخدام‌کننده کره شمالی را در لینکدین شناسایی کرده و آن‌ها را به این گروه مرتبط دانستند.

آدریان هرناندز (Adrian Hernandez)، تحلیلگر ارشد تهدید در گروه اطلاعات تهدید گوگل، می‌گوید که این گروه از درهای پشتی سفارشی مانند PLOTTWIST و TIEDYE استفاده می‌کند که سیستم عامل macOS را هدف قرار می‌دهند. هرناندز توضیح می‌دهد:

«این بدافزارها معمولا برای جلوگیری از شناسایی و خنثی کردن تجزیه و تحلیل، به شدت مبهم‌سازی شده‌اند. هنگامی که UNC4899 گروه TraderTraitor به اعتبارنامه‌های معتبر دسترسی پیدا کرد، مشاهده کردیم که این عامل تهدید به صورت جانبی در شبکه حرکت می‌کند و به حساب‌های دیگر برای دسترسی به میزبان‌ها و سیستم‌ها نفوذ می‌کند، در حالی که مشخصات پایینی از خود نشان داده و هدفش فرار از شناسایی است.»

هنگامی که هکرهای کره شمالی به ارزهای دیجیتال یا کیف پول‌های دیجیتال دسترسی پیدا می‌کنند، فرآیند پولشویی اغلب از الگوی مشابهی پیروی می‌کند، همانطور که شرکت ردیابی ارزهای دیجیتال الیپتیک (Elliptic) در یک پست وبلاگی در مورد تحلیل هک بای‌بیت توضیح داد.

برای جلوگیری از مسدود شدن کیف پول‌های رمزنگاری، آن‌ها به سرعت توکن‌های دزدیده شده را که اغلب توسط نهادهای متمرکز صادر می‌شوند و می‌توان محدودیت‌هایی برای آن‌ها اعمال کرد با دارایی‌های رایج ارزهای دیجیتال مانند اتر و بیت‌کوین که محدود کردن آن‌ها دشوارتر است، مبادله می‌کنند.

الیپتیک می‌نویسد:

«مرحله دوم فرآیند پولشویی، لایه‌بندی وجوه دزدیده شده به منظور پنهان کردن مسیر تراکنش است. این به معنای تقسیم وجوه به مقادیر کمتر و ارسال آن‌ها به کیف پول‌های متعدد است.»

الیپتیک گزارش می‌دهد که در مورد بای‌بیت، پول به ۵۰ کیف پول مختلف ارسال شد که در روزهای آینده خالی شدند. سپس این ارزهای رمزنگاری شده از طریق صرافی‌های مختلف ارز دیجیتال منتقل می‌شوند، به بیت‌کوین تبدیل می‌شوند و از طریق میکسرهای رمزنگاری که هدفشان مبهم کردن تراکنش‌های رمزنگاری است، عبور می‌کنند.

الیپتیک در پست وبلاگ خود تاکید می‌کند:

«کره شمالی پیشرفته‌ترین و با منابع مالی قوی‌ترین نهاد در زمینه پولشویی دارایی‌های رمزنگاری موجود است که به طور مداوم تکنیک‌های خود را برای فرار از شناسایی و توقیف دارایی‌های سرقت شده تطبیق می‌دهد.»

علاوه بر سرقت ارزهای دیجیتال، گروه TraderTraitor با هک‌های شرکت‌های زنجیره تامین نرم‌افزار نیز مرتبط بوده است که برجسته‌ترین آن‌ها حمله به JumpCloud در ژوئن ۲۰۲۳ بود. نرم‌افزاری که توسط چندین شرکت مورد استفاده قرار می‌گیرد، می‌تواند راه نفوذ مخفیانه‌تری را برای هکرها فراهم کند تا به اهداف مورد نظر خود دست یابند. اندی پیازا (Andy Piazza)، مدیر ارشد تحقیقات تهدید در واحد ۴۲، در این باره می‌گوید:

«این می‌تواند بر هر صنعت فناوری و هر سازمانی که از آن نرم‌افزار استفاده می‌کند، تأثیر بگذارد.»

از آنجایی که گروه TraderTraitor در چند سال اخیر به طور فزاینده‌ای مورد توجه قرار گرفته است، پیازا مشاهده کرده است که عملکرد این گروه بهبود یافته و تلاش‌های بیشتری برای فرار از شناسایی انجام می‌دهند. به عنوان مثال، تحقیقات اخیر واحد ۴۲ نشان داد که این گروه از بدافزاری به نام RN Loader استفاده می‌کند که یک دزد اطلاعات را نصب کرده و سپس خود را حذف می‌کند، که تشخیص آن را دشوارتر می‌سازد.

پیازا تاکید می‌کند: «مطمئنا می‌توان گفت که آن‌ها در حال پیشرفت هستند.»

پیازا معتقد است که برخلاف گروه‌های هک تصادفی روسی که هر دو به طور همزمان در شبکه‌های DNC در حدود سال ۲۰۱۶ فعال بودند به نظر می‌رسد سازماندهی بیشتری در گروه‌های کره شمالی وجود دارد. او می‌گوید:

«به نظر می‌رسد هماهنگ‌تر است و آن‌ها در فضای نبرد با یکدیگر برخورد نمی‌کنند. آن‌ها واقعا نشان می‌دهند که توانایی تمرکز بر امنیت عملیاتی (OPSEC) و تمرکز بر این قابلیت پایداری را دارند.»

عملیات هک کره شمالی ممکن است حتی پیچیده‌تر از آن چیزی باشد که بسیاری تصور می‌کنند. به گفته پیازا و سایر کارشناسانی که WIRED با آن‌ها گفتگو کرده است، هکرهای رمزنگاری و کارکنان مخفی فناوری اطلاعات ممکن است حتی با یکدیگر هماهنگ باشند. پیازا می‌گوید تاکتیک‌های آن‌ها همپوشانی را نشان می‌دهد.

بارنهارت، محقق سیستم DTEX، در این باره می‌گوید:

«اگر در حال حاضر وارد برخی از وب‌سایت‌های فریلنسری شوید و اعلام کنید که یک استارت‌آپ رمزنگاری کاملا جدید هستید و قبل از پایان روز به دنبال توسعه‌دهندگان می‌گردید، کره شمالی‌ها را در صندوق ورودی خود خواهید داشت.»

او معتقد است که برخی از هکرهای کره شمالی می‌توانند بین گروه‌های مختلف این کشور جابجا شوند و این احتمال وجود دارد که با یا در کنار کارکنان فناوری اطلاعات این کشور کار کنند. بارنهارت می‌گوید ممکن است همپوشانی بیشتری از آنچه مردم فکر می‌کنند، وجود داشته باشد.

__ تکنو دات مرجع اخبار تکنولوژی __

---