تكنولوجيا

TraderTraitor: ملوك سرقة التشفير

TraderTraitor: ملوك سرقة التشفير


يقول بارنهارت إن كوريا الشمالية أدركت أن الاعتماد على أشخاص آخرين – مثل البغال المالي – يمكن أن يجعل عملياتها أقل فعالية. بدلاً من ذلك ، يمكنهم سرقة العملة المشفرة. ظهرت مجموعتان من هذا التحول التكتيكي ، كما يقول بارنهارت ، Cryptocore و TraderTraitor. يقول: “المتداول هو الأكثر تطوراً على الإطلاق”. “ولماذا؟ لأن APT38 كان الفريق”.

منذ ذلك الحين ، تم ربط TraderTraitor بسرقة العملة المشفرة على نطاق واسع في السنوات الأخيرة. على سبيل المثال ، تم ربط سرقة مارس 2024 البالغة 308 مليون دولار من شركة Cryptocurrency DMM التي تتخذ من اليابان مقراً لها إلى TraderTraitor من قبل مكتب التحقيقات الفيدرالي ووزارة الدفاع والشرطة في اليابان.

عادةً ما يستهدف TraderTraitor الأشخاص الذين يعملون في شركات Web3 باستخدام رسائل صيد الرمح-في أغلب الأحيان ، الأشخاص الذين يعملون على تطوير البرمجيات. يقول DeGrippo من Microsoft: “إنهم يعرفون الأفراد الذين يعملون في هذه الشركات ، ويتبعونها ، ولديهم ملفات تعريف عليهم ، ويعرفون أي منصات التداول التي تقوم بأكبر قدر من الحجم. إنهم يركزون على تلك الصناعة بأكملها ، وفهمها للخلف والأمام”.

تم تسليط الضوء على Github ، المملوكة لشركة Microsoft ، في يوليو 2023 كيف أنشأ TraderTraitor حسابات مزيفة على منصة الترميز ، بالإضافة إلى LinkedIn و Slack و Telegram. يمكن لمجرمي TraderTraitor إنشاء شخصيات مزيفة يستخدمونها لإرسال أهدافهم أو استخدام حسابات حقيقية تم اختراقها ، كما يقول أبحاث Github. في هذه الحالة ، دعا TraderTraitor المطورين إلى التعاون في GitHub ، قبل إصابةهم في النهاية بالبرامج الضارة باستخدام التعليمات البرمجية الضارة. في الآونة الأخيرة ، عثر باحثو الأمن في وحدة الاستخبارات التهديد لـ Palo Alto Networks على 50 ملفًا لتوظيف كوريا الشمالية على LinkedIn وربطهم مرة أخرى إلى TraderTraitor.

يقول أدريان هيرنانديز ، محلل التهديدات في Google التهديدات ، لقد شوهدت المجموعة باستخدام “Backdoors المخصصة” ، مثل Plottwist و Tiedye ، التي تستهدف MacOS. يقول هيرنانديز: “عادة ما يتم تشجيعها بشكل كبير لمنع الكشف وإحباط التحليل”. “مرة واحدة UNC4899 [TraderTraitor] لقد تمكنت من الوصول إلى بيانات اعتماد صالحة ، فقد لاحظنا أن ممثل التهديد هذا يتحرك بشكل جانبي والوصول إلى حسابات أخرى للوصول إلى المضيفين والأنظمة ، مع الحفاظ على مستوى منخفض وتهدف إلى التهرب من الكشف. “

بمجرد أن يكون لدى المتسللين الكوريين الشماليين أيديهم على العملة المشفرة أو المحافظ الرقمية ، فإن غسل الأموال غالبًا ما يتبع نمطًا مشابهًا ، حيث أن شركة Cryptocrency Tracing Elliptic تم توضيحها في منشور مدونة. لتجنب تجميد محافظ العملة المشفرة ، يقومون بسرعة بتبادل الرموز المسروقة – والتي غالباً ما تصدر من قبل كيانات مركزية ويمكن أن يكون لها قيود عليها – لمزيد من أصول العملة المشفرة السائدة مثل الأثير وبيتكوين التي يصعب الحد منها.

“الخطوة الثانية من عملية الغسيل هي” طبقة “الأموال المسروقة من أجل محاولة إخفاء مسار المعاملات” ، يكتب الإهليلجي. هذا يعني تقسيم الأموال إلى مبالغ أصغر وإرسالها إلى محافظ متعددة. مع Bybit ، يكتب الإهليلجي ، تم إرسال الأموال إلى 50 محفظة مختلفة تم إفراغها في الأيام المقبلة. ثم يتم نقل هذه العملة المشفرة من خلال تبادل العملة المشفرة المختلفة ، وتحويلها إلى عملة بيتكوين ، وتم تمريرها عبر خلاطات التشفير التي تهدف إلى حجب معاملات التشفير.

تقول الإهليتوريتيك في منشور مدونتها: “كوريا الشمالية هي الغسيل الأكثر تطوراً وموارد جيدة من أصول التشفير الموجودة في الوجود ، وتتكيف باستمرار تقنياتها للتهرب من تحديد الأصول المسروقة والاستيلاء على الأصول المسروقة”.

الوسوم

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى