کره شمالی اکنون در حال استخراج رمزارز برای شستن غارت سرقت شده خود است

در اکوسیستم کریپتوکارنسی، سکه ها داستانی دارند که در بلاک چین های غیرقابل تغییر زیربنای اقتصاد آنها ردیابی می شود. تنها استثنا، به نوعی، ارز دیجیتالی است که به تازگی توسط قدرت محاسباتی صاحبش تولید شده است. بنابراین به نظر می رسد که هکرهای کره شمالی ترفند جدیدی را برای شستن سکه هایی که از قربانیان در سراسر جهان می دزدند اتخاذ کرده اند: سکه های کثیف و دزدیده شده خود را به خدماتی بپردازند که به آنها امکان می دهد سکه های بی گناه جدید استخراج کنند.

امروز، شرکت امنیت سایبری Mandiant گزارشی در مورد یک گروه هکر پرکار تحت حمایت دولت کره شمالی منتشر کرد که اکنون آن را APT43 می نامد که گاهی اوقات با نام های Kimsuky و Thallium شناخته می شود. این گروه که فعالیت‌های آن نشان می‌دهد اعضای آن در خدمت آژانس جاسوسی اداره کل شناسایی کره شمالی هستند، عمدتاً بر جاسوسی، هک اتاق‌های فکر، دانشگاهیان و صنایع خصوصی از ایالات متحده تا اروپا، کره جنوبی و ژاپن متمرکز بوده است. حداقل در سال 2018، عمدتاً با کمپین‌های فیشینگ که برای جمع‌آوری اعتبار از قربانیان و نصب بدافزار در دستگاه‌های آنها طراحی شده‌اند.

مانند بسیاری از گروه‌های هکر کره شمالی، APT43 نیز در جرایم سایبری سود محور، حاشیه‌ای را حفظ می‌کند. طبق گفته Mandiant، سرقت هر ارز دیجیتالی که می تواند رژیم کره شمالی را غنی کند یا حتی فقط عملیات خود هکرها را تامین مالی کند. و از آنجایی که تنظیم‌کننده‌ها در سراسر جهان کنترل خود را بر صرافی‌ها و خدمات شویی که دزدان و هکرها برای نقد کردن سکه‌های آلوده به جرم استفاده می‌کنند، سخت‌تر کرده‌اند، به نظر می‌رسد APT43 در حال امتحان روش جدیدی برای نقد کردن وجوهی است که به سرقت می‌برد و از توقیف یا مسدود شدن آنها جلوگیری می‌کند: این ارز دیجیتال دزدیده شده را به «سرویس‌های هش‌سازی» پرداخت می‌کند که به هر کسی اجازه می‌دهد در رایانه‌هایی که برای استخراج ارز دیجیتال استفاده می‌شوند، زمان اجاره کند، و سکه‌های تازه استخراج‌شده‌ای را که هیچ ارتباط آشکاری با فعالیت‌های مجرمانه ندارند، جمع‌آوری کند.

این ماینینگ. ترفند به APT43 اجازه می دهد تا از این واقعیت استفاده کند که سرقت ارزهای دیجیتال نسبتاً آسان است و در عین حال از دنباله پزشکی قانونی شواهدی که بر روی بلاک چین به جا می گذارد اجتناب می کند، که می تواند پول نقد را برای سارقان دشوار کند. جو دابسون، تحلیلگر اطلاعات تهدید Mandiant می گوید: «این زنجیره را می شکند. «این مانند یک دزد بانک است که نقره را از صندوق بانک می‌دزدد و سپس نزد معدنچی طلا می‌رود و نقره‌های سرقتی را به معدنچی می‌پردازد. همه به دنبال نقره هستند در حالی که سارق بانک با طلای تازه و تازه استخراج شده راه می‌رود.

Mandiant می‌گوید که برای اولین بار در آگوست 2022 نشانه‌هایی از تکنیک لباس‌شویی مبتنی بر معدن APT43 را مشاهده کرد. از آن زمان تا کنون دیده شده است که ده‌ها هزار دلار ارز رمزنگاری شده به خدمات هشینگ سرازیر شده است – سرویس‌هایی مانند NiceHash و Hashing24، که به هر کسی اجازه خرید و فروش قدرت محاسباتی برای محاسبه رشته‌های ریاضی معروف به “هش” که برای استخراج بیشتر ارزهای دیجیتال ضروری است، از آنچه معتقد است کیف پول های رمزنگاری APT43 هستند. Mandiant می‌گوید که مقادیر مشابهی از «استخرهای» ماینینگ به کیف پول‌های APT43 سرازیر شده است، خدماتی که به ماینرها اجازه می‌دهد منابع هش خود را به گروهی که سهمی از هر ارز دیجیتالی را که گروه استخراج می‌کند، پرداخت می‌کند. (ماندیانت از نام بردن خدمات هش یا استخرهای ماینینگی که APT43 در آنها شرکت کرده است خودداری کرد.)

در تئوری، پرداخت‌ها از این استخرها باید تمیز باشد و هیچ ارتباطی با هکرهای APT43 نداشته باشد. به نظر می رسد که در نهایت، این نقطه تمرین این گروه باشد. اما در برخی موارد شلختگی عملیاتی، Mandiant می‌گوید که دریافته است که با این وجود، وجوه با رمزنگاری در کیف‌هایی که قبلاً از ردیابی سال‌ها کمپین‌های هک APT43 شناسایی کرده بود، ترکیب شده است.