انحصاری: هکرهای کره شمالی به منظور سرقت منابع رمزنگاری شده به شرکت فناوری اطلاعات آمریکا نفوذ کردند.

واشنگتن، 20 ژوئیه (رویترز) – به گفته دو منبع آگاه، یک گروه هکر تحت حمایت دولت کره شمالی به یک شرکت مدیریت فناوری اطلاعات آمریکایی نفوذ کرد و از آن به عنوان سکوی پرشی برای هدف قرار دادن تعداد نامعلومی از شرکت‌های ارزهای دیجیتال استفاده کرد.

به گفته این منابع، هکرها در اواخر ژوئن به JumpCloud مستقر در لوئیزویل، کلرادو نفوذ کردند و از دسترسی خود به سیستم‌های این شرکت برای هدف قرار دادن مشتریان شرکت ارزهای دیجیتال در تلاش برای سرقت پول نقد دیجیتال استفاده کردند.

این هک نشان می‌دهد که چگونه جاسوس‌های سایبری کره‌شمالی که زمانی راضی می‌شدند شرکت‌های رمزنگاری را یکی پس از دیگری دنبال کنند، اکنون با شرکت‌هایی که می‌توانند به آنها دسترسی به منابع متعدد بیت‌کوین و سایر ارزهای دیجیتال را بدهند، مقابله می‌کنند.

JumpCloud، که هفته گذشته در یک پست وبلاگی هک را تایید کرد و آن را به گردن یک “بازیگر تهدید کننده پیشرفته تحت حمایت دولت ملی” انداخت، به سوالات رویترز در مورد اینکه چه کسی به طور مشخص در پشت هک بوده و چه مشتریانی تحت تاثیر قرار گرفته اند، پاسخی نداد. رویترز نتوانست مطمئن شود که آیا ارز دیجیتال در نهایت در نتیجه هک به سرقت رفته است یا خیر.

شرکت امنیت سایبری CrowdStrike Holdings (CRWD.O) که با JumpCloud برای بررسی این رخنه کار می‌کند، تأیید کرد که “Labyrinth Chollima” – نامی که به گروه خاصی از هکرهای کره شمالی می‌دهد – پشت این نفوذ بوده است.

آدام مایرز، معاون ارشد اطلاعات CrowdStrike از اظهار نظر در مورد آنچه که هکرها به دنبال آن هستند خودداری کرد، اما اشاره کرد که آنها سابقه هدف قرار دادن اهداف ارزهای دیجیتال را داشته اند.

او گفت: «یکی از اهداف اولیه آنها درآمدزایی برای رژیم بوده است.

ماموریت پیونگ یانگ در سازمان ملل در نیویورک بلافاصله به درخواست اظهارنظر پاسخ نداد. کره شمالی پیشتر سازماندهی سرقت ارزهای دیجیتال را رد کرده بود، علیرغم شواهد گسترده – از جمله گزارش های سازمان ملل – برعکس.

تحقیقات مستقل از ادعای CrowdStrike حمایت کرد.

تام هگل، محقق امنیت سایبری، که در این تحقیقات شرکت نداشت، به رویترز گفت که نفوذ JumpCloud آخرین مورد از چندین مورد نقض اخیر است که نشان می‌دهد چگونه کره شمالی در “حملات زنجیره تامین” یا هک‌های مفصلی که با به خطر انداختن نرم‌افزار یا ارائه‌دهندگان خدمات به منظور سرقت داده‌ها یا پول از کاربران کار می‌کنند، ماهر شده‌اند.

هگل که برای شرکت آمریکایی SentinelOne کار می کند، گفت: «به نظر من کره شمالی واقعاً بازی خود را تقویت می کند. (SN)

هگل در یک پست وبلاگی که قرار است روز پنجشنبه منتشر شود، گفت که شاخص های دیجیتال منتشر شده توسط JumpCloud، هکرها را به فعالیت هایی که قبلا به کره شمالی نسبت داده شده بود مرتبط می کند.

آژانس نظارت سایبری ایالات متحده CISA و FBI از اظهار نظر خودداری کردند.

هک روی JumpCloud – که محصولات آن برای کمک به مدیران شبکه در مدیریت دستگاه‌ها و سرورها استفاده می‌شود – برای اولین بار در اوایل ماه جاری و زمانی که این شرکت به مشتریان ایمیلی ارسال کرد که اعتبار آنها را «به دلیل احتیاط فراوان در رابطه با یک حادثه جاری» تغییر می‌دهد، به صورت عمومی ظاهر شد.

در پست وبلاگی که اذعان داشت که این حادثه یک هک بوده است، JumpCloud نفوذ را به 27 ژوئن ردیابی کرد. پادکست متمرکز بر امنیت سایبری Risky Business اوایل این هفته به نقل از دو منبع گفت که کره شمالی مظنون به نفوذ بوده است.

Labyrinth Chollima یکی از پرکارترین گروه های هکر کره شمالی است و گفته می شود که مسئول برخی از جسورانه ترین و مخرب ترین نفوذهای سایبری در این کشور منزوی است. سرقت ارزهای دیجیتال آن منجر به از دست دادن مبالغ چشمگیر شده است: شرکت تجزیه و تحلیل بلاک چین Chainalysis سال گذشته گفت که گروه های مرتبط با کره شمالی حدود 1.7 میلیارد دلار پول نقد دیجیتال را از طریق چندین هک به سرقت برده اند.

مایرز از CrowdStrike گفت که تیم های هکر پیونگ یانگ را نباید دست کم گرفت.

او گفت: «فکر نمی‌کنم این آخرین حمله‌ای باشد که در سال جاری شاهد حملات زنجیره تامین کره شمالی خواهیم بود.

گزارش کریستوفر بینگ و رافائل ساتر در واشنگتن. گزارش های اضافی توسط جیمز پیرسون در لندن و میشل نیکولز در نیویورک. ویرایش توسط آنا درایور

استانداردهای ما: اصول اعتماد تامسون رویترز.