سرقت 70 میلیون ارز مجازی از اسرائیل

به گزارش کارگروه بین‌الملل سایبربان؛ به گفته شرکت امنیت سایبری «Clearsky»، یک گروه سایبری ناشناس از اروپای شرقی مبلغ 70 میلیون دلار از مبادلات ارز مجازی اسرائیل را از اواسط سال 2018 تا به امروز سرقت کرده است. در گزارش شرکت آمده است که این باند سایبری مخفی – موسوم به «CryptoCore» – حدود 200 میلیون دلار از مبادلات ارز مجازی سراسر جهان، به‌خصوص در ایالات متحده و ژاپن را سرقت کرده است.

براساس این گزارش، شرکت تقریباً 2 سال کمپین‌های گروه هکری را دنبال می‌کرد، اما هیچ سرنخ قطعی از منشأ اپراتورها نیافت. با این حال کارشناسان معتقدند که این گروه با منطقه اروپای شرقی، اوکراین یا روسیه پیوند دارد.

Clearsky گفت که مبادلات ارز مجازی به هدف حملات دائمی تبدیل شده است؛ عوامل تهدید نیز تلاش می‌کنند تا با شناسایی، استقرار باج‌افزار و سرقت پول از تبادلات، به‌ویژه کیف‌های متصل و فعال به شبکه‌های شرکتی نفوذ کنند. مبادلات ارز دیجیتال به‌طور کلی در برابر هک شدن نسبت به بانک‌ها و سیستم سوئیف (SWIFT) از امنیت کمتری برخوردار هستند. به گفته شرکت فوق، حتی اگر ردیابی پول‌های سرقت شده از طریق بلاک‌چین آسان‌تر باشد، اما شناسایی و تخصیص کیف‌ها به نهادها و افراد خاص بسیار مشکل است.

در این گزارش، نام 3 حمله اصلی و بزرگ علیه «Coinbase»، «Upbit» و «Binance» ذکر شده که حداقل 2 بار هک شدند و اطلاعات شناسایی مخفیانه آنها منتشر شده‌اند.

در گزارش همچنین به حملات انجام شده از سوی گروه هکری کره شمالی موسوم به لازاروس (Lazarus) و سوءاستفاده از آسیب‌پذیری‌های موجود در پلتفرم «Ethereum»، رقیب ارز مجازی بیت‌کوین در حمله موفقیت‌آمیز روی «Uniswap» و «Lend.me2» اشاره شده است. Clearsky در گزارش خود ضمن توضیح درمورد روش عملیاتی CryptoCore اعلام کرد که این گروه هکری کار خود را با یک مرحله شناسایی گسترده علیه شرکت، مدیران، افسران و پرسنل فناوری اطلاعات آن شروع می‌کند.

در حالیکه روش اصلی نفوذ این گروه معمولاً از طریق اسپیر فیشینگ علیه شبکه شرکت است، حساب‌های ایمیل شخصی مدیران شرکت اولین اهداف محسوب می‌شوند. سپس مسئله زمان مطرح می‌شود که ساعت‌ها تا هفته‌ها طول می‌کشد تا ایمیل اسپیر فیشینگ به یک حساب کاربری ایمیل مدیر اجرایی تبادل ارسال شود. اسپیر فیشینگ معمولاً با جعل هویت یک کارمند رده بالا از سازمان هدف یا سازمان دیگری (به عنوان مثال هیئت مشاوره) مرتبط با کارمند هدف انجام می‌شود.

پس از نفوذ به سیستم، هدف اصلی گروه هکری دسترسی به حساب مدیریتی رمز عبور کارمند است؛ اینجا همان جایی است که کلیدهای کیف‌های ارزی و دیگر دارایی‌های مهم – که در مراحل حرکتی جانبی قابل دسترس هستند – ذخیره می‌شوند. این دسترسی بدان معنی است که هکرها ناشناس باقی می‌مانند و تا زمانی که احراز هویت چندعاملی کیف‌های تبادل برداشته نشوند، پول‌ها همچنان سرقت می‌شوند.

شرکت Clearsky معتقد است که با وجود فعالیت مداوم از اواسط سال 2018 تا 2020، فعالیت گروه هکری یاد شده در نیمه اول سال 2020 کاهش یافته و یکی از دلایل این کاهش، محدودیت‌های ایجاد شده ناشی از شیوع بیماری کووید-19 است.

شرکت در گزارش خود در ماه اوت سال گذشته در مورد برخی شیوه‌ها از جمله سرقت مبادلات اسرائیلی اما نه با همان دامنه توضیح داد. در این گزارش، نمونه‌هایی از ایمیل‌های عبری برای فریب اسرائیلی‌ها مشخص شده‌اند.

بوآز دولِف (Boaz Dolev)، مدیرعامل Clearsky گفت :

«با وجود اینکه گروه هکری قابلیت‌های چندان پیشرفته‌ای هم ندارد، اما طی یک دوره طولانی و یکپارچه با هوش از پیش توسعه یافته، به‌صورت سیستماتیک عمل می‌کند؛ و همین امر موجب سرقت انبوه سرمایه از اسرائیل و دیگر نقاط جهان می‌شود.»

Clearsky توضیح داد که راه‌حل‌های برتر خط سایبری را برای شرکت‌های برتر سراسر جهان فراهم می‌کند و تیم اطلاعات سایبری شرکت وظیفه شناسایی تهدیدات و عوامل تهدید به‌ویژه روی دولت‌ها، نهادهای مالی، زیرساخت‌های مهم و شرکت‌های داروسازی را برعهده دارد.