کره شمالی اکنون در حال استخراج رمزارز برای شستن غارت سرقت شده خود است
در اکوسیستم کریپتوکارنسی، سکه ها داستانی دارند که در بلاک چین های غیرقابل تغییر زیربنای اقتصاد آنها ردیابی می شود. تنها استثنا، به نوعی، ارز دیجیتالی است که به تازگی توسط قدرت محاسباتی صاحبش تولید شده است. بنابراین به نظر می رسد که هکرهای کره شمالی ترفند جدیدی را برای شستن سکه هایی که از قربانیان در سراسر جهان می دزدند اتخاذ کرده اند: سکه های کثیف و دزدیده شده خود را به خدماتی بپردازند که به آنها امکان می دهد سکه های بی گناه جدید استخراج کنند.
امروز، شرکت امنیت سایبری Mandiant گزارشی در مورد یک گروه هکر پرکار تحت حمایت دولت کره شمالی منتشر کرد که اکنون آن را APT43 می نامد که گاهی اوقات با نام های Kimsuky و Thallium شناخته می شود. این گروه که فعالیتهای آن نشان میدهد اعضای آن در خدمت آژانس جاسوسی اداره کل شناسایی کره شمالی هستند، عمدتاً بر جاسوسی، هک اتاقهای فکر، دانشگاهیان و صنایع خصوصی از ایالات متحده تا اروپا، کره جنوبی و ژاپن متمرکز بوده است. حداقل در سال 2018، عمدتاً با کمپینهای فیشینگ که برای جمعآوری اعتبار از قربانیان و نصب بدافزار در دستگاههای آنها طراحی شدهاند.
مانند بسیاری از گروههای هکر کره شمالی، APT43 نیز در جرایم سایبری سود محور، حاشیهای را حفظ میکند. طبق گفته Mandiant، سرقت هر ارز دیجیتالی که می تواند رژیم کره شمالی را غنی کند یا حتی فقط عملیات خود هکرها را تامین مالی کند. و از آنجایی که تنظیمکنندهها در سراسر جهان کنترل خود را بر صرافیها و خدمات شویی که دزدان و هکرها برای نقد کردن سکههای آلوده به جرم استفاده میکنند، سختتر کردهاند، به نظر میرسد APT43 در حال امتحان روش جدیدی برای نقد کردن وجوهی است که به سرقت میبرد و از توقیف یا مسدود شدن آنها جلوگیری میکند: این ارز دیجیتال دزدیده شده را به «سرویسهای هشسازی» پرداخت میکند که به هر کسی اجازه میدهد در رایانههایی که برای استخراج ارز دیجیتال استفاده میشوند، زمان اجاره کند، و سکههای تازه استخراجشدهای را که هیچ ارتباط آشکاری با فعالیتهای مجرمانه ندارند، جمعآوری کند.
این ماینینگ. ترفند به APT43 اجازه می دهد تا از این واقعیت استفاده کند که سرقت ارزهای دیجیتال نسبتاً آسان است و در عین حال از دنباله پزشکی قانونی شواهدی که بر روی بلاک چین به جا می گذارد اجتناب می کند، که می تواند پول نقد را برای سارقان دشوار کند. جو دابسون، تحلیلگر اطلاعات تهدید Mandiant می گوید: «این زنجیره را می شکند. «این مانند یک دزد بانک است که نقره را از صندوق بانک میدزدد و سپس نزد معدنچی طلا میرود و نقرههای سرقتی را به معدنچی میپردازد. همه به دنبال نقره هستند در حالی که سارق بانک با طلای تازه و تازه استخراج شده راه میرود.
Mandiant میگوید که برای اولین بار در آگوست 2022 نشانههایی از تکنیک لباسشویی مبتنی بر معدن APT43 را مشاهده کرد. از آن زمان تا کنون دیده شده است که دهها هزار دلار ارز رمزنگاری شده به خدمات هشینگ سرازیر شده است – سرویسهایی مانند NiceHash و Hashing24، که به هر کسی اجازه خرید و فروش قدرت محاسباتی برای محاسبه رشتههای ریاضی معروف به “هش” که برای استخراج بیشتر ارزهای دیجیتال ضروری است، از آنچه معتقد است کیف پول های رمزنگاری APT43 هستند. Mandiant میگوید که مقادیر مشابهی از «استخرهای» ماینینگ به کیف پولهای APT43 سرازیر شده است، خدماتی که به ماینرها اجازه میدهد منابع هش خود را به گروهی که سهمی از هر ارز دیجیتالی را که گروه استخراج میکند، پرداخت میکند. (ماندیانت از نام بردن خدمات هش یا استخرهای ماینینگی که APT43 در آنها شرکت کرده است خودداری کرد.)
در تئوری، پرداختها از این استخرها باید تمیز باشد و هیچ ارتباطی با هکرهای APT43 نداشته باشد. به نظر می رسد که در نهایت، این نقطه تمرین این گروه باشد. اما در برخی موارد شلختگی عملیاتی، Mandiant میگوید که دریافته است که با این وجود، وجوه با رمزنگاری در کیفهایی که قبلاً از ردیابی سالها کمپینهای هک APT43 شناسایی کرده بود، ترکیب شده است.