نفوذ سایبری ۵۰ میلیون دلاری کره‌شمالی به نام پیمانکار سابق

پلتفرم Radiant Capital اعلام کرده است که حمله هکری ۵۰ میلیون دلاری در اکتبر به سیستم مالی غیرمتمرکز (DeFi) این شرکت توسط بدافزاری انجام شده که از طریق تلگرام و توسط یک هکر وابسته به کره شمالی که خود را به عنوان یک پیمانکار سابق جا زده، ارسال شده است.

رادیانت در بروز رسانی تاریخ ۶ دسامبر تحقیقاتی جاری خود اعلام کرده که شرکت امنیت سایبری قراردادیشان، Mandiant، با اطمینان بالا این حمله را به یک هکر مرتبط با جمهوری دموکراتیک خلق کره (DPRK) نسبت داده است.

این پلتفرم اعلام کرده است که یکی از توسعه‌دهندگان Radiant در تاریخ ۱۱ سپتامبر پیامی در تلگرام همراه با یک فایل فشرده از سوی یک پیمانکار سابق معتبر دریافت کرد که در آن درخواست نظرات درباره یک پروژه جدید شده بود.

پس از بررسی، این پیام به احتمال قوی از سوی یک تهدیدگر وابسته به DPRK که خود را جای پیمانکار سابق جا زده ارسال شده بود, اعلام شد. این فایل ZIP، که جهت بازخورد در میان سایر توسعه‌دهندگان به اشتراک گذاشته شده بود، در نهایت بدافزاری را منتشر کرد که باعث نفوذ بعدی شد.

در تاریخ ۱۶ اکتبر، این پلتفرم DeFi مجبور شد بازارهای وام دهی خود را متوقف کند پس از اینکه هکری کنترل کلیدهای خصوصی و قراردادهای هوشمند چندین امضا کننده را به دست گرفت. هکرهای کره شمالی مدت‌هاست که پلتفرم‌های کریپتو را هدف قرار داده‌اند و بین سال‌های ۲۰۱۷ تا ۲۰۲۳ سه میلیارد دلار از ارزهای دیجیتال سرقت کرده‌اند.

Radiant اعلام کرده است که فایل مذکور هیچ گونه شک و تردیدی را برانگیخت زیرا درخواست‌های بررسی فایل‌های PDF در محیط‌های حرفه‌ای متداول است و توسعه‌دهندگان غالباً اسناد را به این فرمت به اشتراک می‌گذارند.

دامین مرتبط با این فایل ZIP نیز به صورت جعلی وب‌سایت پیمانکار اصلی را تقلید کرده بود.

چندین دستگاه توسعه‌دهندگان Radiant در این حمله آسیب دیدند و رابط‌های کاربری جلویی در حال نمایش داده‌های تراکنش‌های بی‌ضرر بودند در حالی که تراکنش‌های مخرب در پشت صحنه امضا می‌شدند.

بررسی‌های سنتی و شبیه‌سازی‌ها هیچ گونه تناقض آشکاری نشان نمی‌دادند، به طوری که تهدید در مراحل معمول بررسی تقریباً نامرئی بود, افزود.

این فریب به قدری بی‌نقص انجام شد که حتی با بهترین روش‌های استاندارد Radiant، مانند شبیه‌سازی تراکنش‌ها در Tenderly، راستی‌آزمایی داده‌های پی‌لود و پیروی از SOP‌های صنعتی در هر مرحله، مهاجمان توانستند چندین دستگاه توسعه‌دهنده را به خطر بیندازند.

Radiant Capital معتقد است که عامل این تهدید با نام (UNC4736) شناخته می‌شود که نام دیگری برای (Citrine Sleet) نیز می‌باشد، که به نظر می‌رسد به سازمان اطلاعات اصلی کره شمالی، اداره کل اطلاعات (RGB) وابسته است و احتمالاً یک زیر دسته از گروه هکری لازاروس است.

هکرها در تاریخ ۲۴ اکتبر حدود ۵۲ میلیون دلار از وجوه سرقت شده را منتقل کردند.

این حادثه نشان می‌دهد که حتی SOPهای دقیق، کیف پول‌های سخت‌افزاری، ابزارهای شبیه‌سازی مانند Tenderly و بررسی‌های انسانی دقیق می‌توانند توسط تهدیدگران پیشرفته به دور زده شوند, Radiant Capital در بروزرسانی خود نوشت.

وابستگی به امضاهای بدون بررسی و تاییدهای جلویی که قابل تقلید هستند، نیاز به توسعه راه‌حل‌های قدرتمندتر در سطح سخت‌افزار برای رمزگشایی و اعتبارسنجی پی‌لودهای تراکنش دارد, اضافه کرد.

این اولین باری نیست که Radiant امسال با مشکل روبرو شده است. این پلتفرم در ماه ژانویه پس از یک حمله وام فوری ۴.۵ میلیون دلاری بازارهای وام دهی خود را متوقف کرد. پس از دو حمله امسال، مجموع ارزش قفل شده Radiant به طور چشم‌گیری کاهش یافته است؛ از بیش از ۳۰۰ میلیون دلار در پایان سال گذشته به حدود ۵.۸۱ میلیون دلار تا تاریخ ۹ دسامبر، طبق اطلاعات DefiLlama.