جاسوس سایبری ارز دیجیتال

پرده برداری از هویت یک جاسوس سایبری کره شمالی در صنعت ارزهای دیجیتال

در دنیای پیچیده و پویای ارزهای دیجیتال، همواره تهدیدات سایبری و فعالیت‌های مخفیانه وجود دارد که نیازمند هوشیاری و بررسی دقیق است. اخیراً، تحقیقات گسترده‌ای توسط کوین‌تلگراف با همکاری کارشناسان امنیتی انجام شده است که به شناسایی یک مظنون به فعالیت در کره شمالی و شبکه‌ای از عوامل تهدیدکننده مرتبط با او منجر شده است. این افراد با استفاده از هویت‌های جعلی و روش‌های پیچیده، تلاش می‌کردند در صنعت ارزهای دیجیتال نفوذ کرده و پروژه‌های آزادکاری را به دست آورند.

این تحقیقات نشان داد که چگونه عوامل کره شمالی، حتی بدون استفاده از VPN، قادر به کسب کار آزاد آنلاین هستند. این افراد با تظاهر به توسعه‌دهندگان و متخصصان IT، در پلتفرم‌های مختلف فعالیت می‌کنند و به دنبال فرصت‌هایی برای کسب درآمد و جمع‌آوری اطلاعات هستند. یکی از این افراد که با نام مستعار “موتوکی” شناخته می‌شد، در جریان یک مصاحبه شغلی ساختگی، به طور تصادفی پیوندهایی را به خوشه‌ای از عوامل تهدیدکننده کره شمالی فاش کرد.

این مقاله به بررسی جزئیات این تحقیقات، روش‌های مورد استفاده توسط این جاسوس سایبری، و پیامدهای آن برای صنعت ارزهای دیجیتال می‌پردازد. همچنین، تلاش‌هایی که برای مقابله با این تهدیدات و افزایش آگاهی در این زمینه صورت گرفته است، مورد بررسی قرار می‌گیرد. هدف از این مقاله، ارائه یک دیدگاه جامع و آگاه‌کننده در مورد تهدیدات سایبری در صنعت ارزهای دیجیتال و اهمیت هوشیاری و همکاری برای مقابله با آن‌ها است. با افزایش روزافزون استفاده از ارزهای دیجیتال، این موضوع بیش از پیش اهمیت پیدا می‌کند و نیازمند توجه جدی است.

در این راستا آشنایی با مفاهیم اساسی ارزهای دیجیتال مانند بیت کوین و نحوه عملکرد بلاک‌چین می‌تواند به درک بهتر این تهدیدات کمک کند.

جاسوس ارز دیجیتال مظنون کره شمالی به عنوان یک توسعه‌دهنده ژاپنی

هاینر گارسیا، کارشناس اطلاعات تهدیدات سایبری در تلفونیکا و محقق امنیت بلاک‌چین، اولین بار در اواخر ژانویه در گیت‌هاب با موتوکی برخورد کرد. گارسیا در حال بررسی خوشه‌ای مرتبط با یک عامل تهدیدکننده مظنون به DPRK به نام “bestselection18” بود. اعتقاد بر این است که این حساب توسط یک نفوذگر مجرب IT از DPRK اداره می‌شود. این حساب بخشی از یک گروه بزرگتر از عوامل مظنون بود که از طریق پلتفرم‌های آزادکاری مانند OnlyDust به اقتصاد گیگ ارز دیجیتال نفوذ کرده بودند.

بیشتر عوامل دولتی کره شمالی از عکس چهره انسان در حساب‌های خود استفاده نمی‌کنند، بنابراین پروفایل موتوکی، که دارای یک عکس بود، توجه گارسیا را به خود جلب کرد. گارسیا به کوین‌تلگراف گفت: «من مستقیم به سراغ اصل مطلب رفتم و فقط در تلگرام برای او نوشتم.» او توضیح داد که چگونه یک شخصیت دیگر به عنوان یک استعدادیاب برای شرکتی که به دنبال استعداد است، ایجاد کرده است. «خیلی آسان بود. من حتی نام شرکت را هم نگفتم.»

در ۲۴ فوریه، گارسیا از خبرنگار کره‌ای جنوبی کوین‌تلگراف دعوت کرد تا در مصاحبه آتی برای شرکت جعلی او شرکت کند — به این امید که در پایان تماس با عامل مظنون DPRK به زبان کره‌ای صحبت کند. ما کنجکاو بودیم؛ اگر می‌توانستیم با یک عامل ملاقات کنیم، این فرصت را داشتیم که یاد بگیریم این تاکتیک‌ها چقدر مؤثر هستند و امیدواریم که چگونه می‌توان با آنها مقابله کرد.

جزئیات مصاحبه ساختگی با “موتوکی”

در ۲۵ فوریه، گارسیا و کوین‌تلگراف با موتوکی ملاقات کردند. وب‌کم‌ها خاموش نگه داشته شدند، اما موتوکی این کار را نکرد. در طول مصاحبه، که به زبان انگلیسی انجام شد، موتوکی اغلب پاسخ‌های یکسانی را برای سوالات مختلف تکرار می‌کرد و مصاحبه شغلی را به یک مکالمه عجیب و ناراحت‌کننده تبدیل می‌کرد.

موتوکی رفتارهای سوال‌برانگیزی را نشان داد که با رفتارهای یک توسعه‌دهنده ژاپنی معتبر مغایرت داشت. برای مثال، او نمی‌توانست به این زبان صحبت کند. از موتوکی خواسته شد که خود را به زبان ژاپنی معرفی کند. نوری که از صفحه نمایش روی صورتش منعکس می‌شد، نشان می‌داد که او به شدت در حال جستجو در میان تب‌ها و پنجره‌ها برای یافتن یک متن برای کمک به پاسخ دادن است. یک سکوت طولانی و پر تنش حکمفرما شد. کوین‌تلگراف دوباره درخواست را تکرار کرد: «Jiko shōkai o onegaishimasu» این بار به زبان ژاپنی. موتوکی اخم کرد، هدست خود را درآورد و مصاحبه را ترک کرد.

اشتباهات و سرنخ‌های فاش شده توسط موتوکی

موتوکی لحظاتی قبل از ترک مصاحبه، حس کرد که چیزی درست نیست. موتوکی در مقایسه با bestselection18، بی‌دقت بود. او با به اشتراک گذاشتن صفحه نمایش خود در مصاحبه، جزئیات کلیدی را فاش کرد. گارسیا نظریه داد که موتوکی احتمالاً یک عامل سطح پایین‌تر است که با bestselection18 کار می‌کند.

موتوکی دو بار با گارسیا تماس گرفت، که یکی از آنها با کوین‌تلگراف بود. در این دو تماس، اشتراک‌گذاری صفحه نمایش او دسترسی به مخازن خصوصی گیت‌هاب را با bestselection18 برای پروژه‌ای که گارسیا آن را یک پروژه کلاهبرداری از کار افتاده می‌نامد، نشان داد. گارسیا گفت: «اینگونه بود که ما کل عملیات و کل خوشه را به هم مرتبط کردیم… او صفحه نمایش خود را به اشتراک گذاشت و فاش کرد که با [bestselection18] در یک مخزن خصوصی کار می‌کند.»

سرنخ‌های زبانی و ظاهری که به منشاء کره شمالی اشاره دارند

در یک مطالعه در سال ۲۰۱۸، محققان مشاهده کردند که مردان کره‌ای نسبت به همسایگان آسیای شرقی خود، ساختارهای صورت پهن‌تر و برجسته‌تری دارند، در حالی که مردان ژاپنی معمولاً صورت‌های بلندتر و باریک‌تری دارند. در حالی که تعمیم‌های گسترده‌ای وجود دارد، در این مورد، ظاهر موتوکی بیشتر با مشخصات کره‌ای توصیف شده در این مطالعه همخوانی داشت.

تلفظ انگلیسی موتوکی سرنخ‌های بیشتری ارائه داد. او اغلب کلماتی را که با «r» شروع می‌شدند، به صورت «l» تلفظ می‌کرد، که یک جایگزینی رایج در بین گویشوران کره‌ای است. گویشوران ژاپنی نیز با این تمایز مشکل دارند، اما تمایل دارند که این دو صدا را در یک صدای خنثی ادغام کنند.

به نظر می‌رسید که او در طول سوالات شخصی آرام‌تر است. موتوکی گفت که در ژاپن به دنیا آمده و بزرگ شده است، همسر یا فرزندی ندارد و ادعا کرد که به زبان مادری مسلط است. او لبخند زد و گفت: «من فوتبال دوست دارم» و آن را با صدای «p» قوی تلفظ کرد — که یک نشانه دیگر است که بیشتر типичного از انگلیسی با لهجه کره‌ای است.

افشای تاکتیک‌های دیگر توسط موتوکی

حدود یک هفته پس از مصاحبه با کوین‌تلگراف، گارسیا تلاش کرد تا این نمایش را طولانی‌تر کند. او به موتوکی پیام داد و ادعا کرد که رئیسش به دلیل مصاحبه مشکوک او را اخراج کرده است. این منجر به سه هفته تبادل پیام خصوصی با موتوکی شد. گارسیا به بازی ادامه داد و وانمود کرد که موتوکی یک توسعه‌دهنده ژاپنی است. گارسیا بعداً از موتوکی درخواست کمک برای یافتن شغل کرد.

در پاسخ، موتوکی معامله‌ای را پیشنهاد کرد که بینش بیشتری در مورد برخی از روش‌های عملیاتی کره شمالی ارائه می‌داد. گارسیا گفت: «آنها به من گفتند که برای خرید یک کامپیوتر به من پول می‌فرستند تا بتوانند از طریق کامپیوتر من کار کنند.» این ترتیب به اپراتور اجازه می‌دهد تا از راه دور به یک دستگاه از مکان دیگری دسترسی داشته باشد و وظایف را بدون نیاز به اتصال VPN انجام دهد، که می‌تواند باعث ایجاد مشکلاتی در پلتفرم‌های آزادکاری محبوب شود.

ناپدید شدن موتوکی و پیامدهای آن

گارسیا و شریکش یافته‌های خود را در مورد خوشه عوامل مظنون DPRK مرتبط با bestselection18 در ۱۶ آوریل در پلتفرم تحقیقاتی متن باز Ketman منتشر کردند. چند روز بعد، کوین‌تلگراف پیامی از گارسیا دریافت کرد: «آن پسری که با او مصاحبه کردیم، رفته است. همه شبکه‌های اجتماعی او تغییر کرده‌اند. همه چت‌ها و همه چیزهای اطراف او حذف شده‌اند.» از آن زمان دیگر خبری از موتوکی نشده است.

عوامل مظنون DPRK به یک مشکل تکراری برای استخدام‌کنندگان در سراسر صنایع فناوری تبدیل شده‌اند. حتی صرافی‌های بزرگ ارز دیجیتال نیز مورد هدف قرار می‌گیرند. در ۲ می، کراکن گزارش داد که یک جاسوس سایبری کره شمالی را شناسایی کرده است که سعی داشت شغلی را در پلتفرم معاملات ارز دیجیتال ایالات متحده به دست آورد.

یک گزارش شورای امنیت سازمان ملل تخمین می‌زند که کارکنان IT کره شمالی سالانه تا ۶۰۰ میلیون دلار برای رژیم درآمد کسب می‌کنند. این جاسوسان قادرند دستمزدهای ثابتی را به کره شمالی بازگردانند. سازمان ملل بر این باور است که این بودجه به تامین مالی برنامه تسلیحاتی آن کمک می‌کند — که تا ژانویه ۲۰۲۴، تصور می‌شود شامل بیش از ۵۰ کلاهک هسته‌ای باشد.

نتیجه‌گیری

تحقیقات انجام شده توسط کوین‌تلگراف و هاینر گارسیا نشان می‌دهد که عوامل تهدیدکننده کره شمالی به طور فعال در تلاش هستند تا در صنعت ارزهای دیجیتال نفوذ کنند و از طریق پروژه‌های آزادکاری، درآمد کسب کنند و اطلاعات جمع‌آوری کنند. این افراد با استفاده از هویت‌های جعلی و روش‌های پیچیده، تلاش می‌کنند تا فعالیت‌های خود را پنهان کنند و از شناسایی شدن جلوگیری کنند.

این تحقیقات همچنین نشان می‌دهد که هوشیاری و همکاری بین کارشناسان امنیتی، رسانه‌ها و شرکت‌های فعال در صنعت ارزهای دیجیتال، برای مقابله با این تهدیدات ضروری است. با افزایش آگاهی و به اشتراک گذاری اطلاعات، می‌توان از فعالیت‌های مخفیانه این عوامل جلوگیری کرد و امنیت صنعت ارزهای دیجیتال را افزایش داد.

• Topic: جاسوس سایبری ارز دیجیتال
• Subheadings: جاسوس ارز دیجیتال مظنون کره شمالی به عنوان یک توسعه‌دهنده ژاپنی, جزئیات مصاحبه ساختگی با “موتوکی”, اشتباهات و سرنخ‌های فاش شده توسط موتوکی, سرنخ‌های زبانی و ظاهری که به منشاء کره شمالی اشاره دارند, افشای تاکتیک‌های دیگر توسط موتوکی, ناپدید شدن موتوکی و پیامدهای آن, نتیجه‌گیری
• Main Keyword: جاسوس سایبری ارز دیجیتال
• Selected Keywords: ارز دیجیتال, کره شمالی, تهدید سایبری, صنعت ارزهای دیجیتال, موتوکی, گیت‌هاب, هاینر گارسیا, کوین‌تلگراف
• Meta Description: تحقیقات کوین‌تلگراف نشان می‌دهد که چگونه یک جاسوس سایبری کره شمالی با هویت جعلی به عنوان توسعه‌دهنده ژاپنی در صنعت ارزهای دیجیتال فعالیت می‌کرد.