به گزارش سیبوم به نقل از TechCrunch، شرکت امنیت سایبری CrowdStrike در گزارش سالانه خود اعلام کرده که هکرهای وابسته به کره شمالی، که اغلب با هویت جعلی در قالب نیروهای دورکار IT یا استخدامکنندگان آنلاین ظاهر میشوند، طی یک سال گذشته پشت نزدیک به نیمی از نفوذهای تعاملی و انسانی به شرکتهای فناوری آمریکا بودهاند.
CrowdStrike روی دستهای از حملات تمرکز کرده که آنها را hands-on-keyboard intrusions مینامد؛ یعنی نفوذهایی که توسط هکرهای واقعی و بهصورت فعال و تعاملی انجام میشوند، نه صرفاً بدافزارهای خودکار که ابزارهای سنتی امنیتی ممکن است بتوانند آنها را شناسایی کنند. این حملات معمولاً با سرقت گذرواژهها یا اطلاعات احراز هویت آغاز میشوند و سپس مهاجمان با سوءاستفاده از ابزارهای قانونی موجود در سیستمهای قربانی، دسترسی پایدار خود را حفظ میکنند.
به گفته CrowdStrike، Famous Chollima بهخاطر این شناخته میشود که خود را بهعنوان توسعهدهنده، برنامهنویس یا نیروی IT جا میزند و برای مشاغل دورکار در شرکتهای فناوری آمریکا، اروپا و آسیا درخواست میدهد. این عملیات با استفاده از هوش مصنوعی برای ساخت تصاویر دیپفیک بلادرنگ، جعل چهره افراد واقعی و ترکیب آن با مدارک هویتی جعلی مانند پاسپورتها و گواهینامههای سرقتشده انجام میشود تا مهاجمان بتوانند خود را بهجای شهروندان آمریکایی یا دیگر کشورها معرفی کنند.
دلیل این روش تا حد زیادی به تحریمهای گسترده غرب و سازمان ملل علیه کره شمالی بازمیگردد؛ تحریمهایی که بهواسطه برنامه هستهای این کشور اعمال شدهاند. در نتیجه، رژیم پیونگیانگ از عملیات سایبری برای دسترسی به درآمد، اطلاعات و داراییهای مالی استفاده میکند.
طبق این گزارش، مهاجمان پس از ورود به شرکتها فقط به سرقت اطلاعات بسنده نمیکنند، بلکه حتی حقوق و مزایای شغلی نیز دریافت میکنند و این مبالغ در نهایت به حکومت کره شمالی منتقل میشود. همزمان، آنها به مالکیت فکری و اطلاعات حساس شرکتها دسترسی پیدا میکنند. این دادههای سرقتشده اغلب بعداً سلاحسازی اطلاعاتی میشوند؛ یعنی وقتی مهاجمان شناسایی میشوند، شرکت قربانی را تهدید میکنند که در صورت عدم پرداخت باج، اطلاعات سرقتشده را افشا خواهند کرد.
CrowdStrike همچنین گفته این گروهها بهطور ویژه توسعهدهندگان بلاکچین را هدف قرار میدهند تا مقادیر بزرگی رمزارز سرقت کنند؛ منبعی که حکومت کره شمالی برای دورزدن ناتوانیاش در استفاده از نظام بانکی غرب به آن متکی است. بر اساس گزارش، کره شمالی طی سالهای اخیر میلیاردها دلار رمزارز سرقتشده به دست آورده و فقط در سال ۲۰۲۵ حدود ۲ میلیارد دلار رمزارز به این شیوه کسب کرده است.
این گزارش یک تغییر مهم در ماهیت تهدیدات سایبری را نشان میدهد: مهاجم دیگر فقط فردی نیست که از بیرون به سیستم نفوذ میکند، بلکه ممکن است بهعنوان کارمند وارد شرکت شود. این یعنی مرز میان امنیت سایبری، منابع انسانی، احراز هویت و مدیریت ریسک عملیاتی عملاً از بین رفته است.
استفاده از دیپفیک، هویت جعلی و شغلهای دورکار نشان میدهد که مدل حمله کره شمالی نسبت به گذشته پیچیدهتر و اقتصادیتر شده است. این فقط یک عملیات جاسوسی یا خرابکاری نیست؛ بلکه یک مدل درآمدی دولتی است که از حقوق ماهانه، اخاذی، سرقت IP و رمزارز بهطور همزمان استفاده میکند.
برای شرکتهای فناوری، پیام روشن است: دیگر صرفاً داشتن آنتیویروس، فایروال یا حتی EDR کافی نیست. آنها باید در فرآیند استخدام، راستیآزمایی هویت، کنترل دسترسی و نظارت رفتاری داخلی نیز بازنگری کنند. در غیر این صورت، تهدید میتواند از همان روز اول با لپتاپ سازمانی و حساب کاربری رسمی وارد ساختمان دیجیتال شرکت شده باشد.
