پروتکل دریفت (DRIFT) در تاریخ ۱۳۰۴/۰۱/۱۶ یک بهروزرسانی دقیق از حادثه منتشر کرد و فاش ساخت که سوءاستفاده ۲۸۵ میلیون دلاری در تاریخ ۱۳۰۴/۰۱/۱۲ نتیجه یک عملیات اطلاعاتی شش ماهه بود که به بازیگران تحت حمایت دولت کره شمالی نسبت داده شد.
این افشاگری سطحی از مهندسی اجتماعی را توصیف میکند که بسیار فراتر از کلاهبرداری های آنلاین معمول فیشینگ یا استخدامکننده است و شامل جلسات حضوری، استقرار واقعی سرمایه و ماهها اعتمادسازی میشود.
یک شرکت معاملاتی جعلی که بازی بلندمدت را انجام داد
طبق گفته دریفت، گروهی که خود را به عنوان یک شرکت معاملاتی کمی معرفی میکردند، برای اولین بار در یک کنفرانس بزرگ کریپتو در پاییز ۱۴۰۴ به مشارکتکنندگان نزدیک شدند.
طی ماههای بعد، این افراد در رویدادهای متعدد در چندین کشور حضور یافتند، جلسات کاری برگزار کردند و مکالمات مداوم تلگرامی درباره یکپارچهسازیهای والت را حفظ کردند.
ما را در X دنبال کنید تا آخرین اخبار را همزمان با وقوع دریافت کنید
بین تاریخ ۱۴۰۴/۰۹/۰۱ تا ۱۴۰۴/۱۰/۰۱، این گروه یک والت اکوسیستم را در دریفت راهاندازی کرد، بیش از ۱ میلیون دلار سرمایه سپردهگذاری کرد و در بحثهای دقیق محصول شرکت نمود.
تا اسفند، مشارکتکنندگان دریفت در چندین مورد با این افراد رو در رو ملاقات کرده بودند.
حتی کارشناسان امنیت وب این موضوع را نگرانکننده میدانند، محقق تای به اشتراک گذاشت که او در ابتدا انتظار یک کلاهبرداری معمولی استخدامکننده را داشت اما عمق عملیات را بسیار هشداردهندهتر یافت.
چگونه دستگاهها به خطر افتادند
دریفت سه بردار حمله احتمالی را شناسایی کرد:
- یک مشارکتکننده یک مخزن کد را که گروه برای یک رابط کاربری والت به اشتراک گذاشته بود، کلون کرد.
- نفر دوم یک برنامه TestFlight را که به عنوان یک محصول کیف پول ارائه شده بود، دانلود کرد.
- برای بردار مخزن، دریفت به یک آسیبپذیری شناخته شده VSCode و Cursor اشاره کرد که محققان امنیتی از اواخر ۱۴۰۴ آن را علامتگذاری کرده بودند.
این نقص اجازه میداد کد دلخواه به صورت بیصدا در لحظهای که یک فایل یا پوشه در ویرایشگر باز میشد، بدون نیاز به تعامل کاربر اجرا شود.
پس از تخلیه در تاریخ ۱۳۰۴/۰۱/۱۲، مهاجمان تمام چتهای تلگرام و نرمافزارهای مخرب را پاک کردند. دریفت از آن زمان توابع پروتکل باقیمانده را مسدود کرده و کیف پولهای به خطر افتاده را از چندامضایی حذف کرده است.
تیم SEALS 911 با اطمینان متوسط تا بالا ارزیابی کرد که همان بازیگران تهدید هک Radiant Capital در مهر ۱۴۰۳ را انجام دادند که Mandiant آن را به UNC4736 نسبت داد.
جریانهای وجوه درون زنجیره ای و همپوشانیهای عملیاتی بین دو کمپین از این ارتباط حمایت میکنند.
صنعت خواستار بازنشانی امنیتی است
آرمانی فرانته، یک توسعهدهنده برجسته سولانا، از هر تیم کریپتو خواست تا تلاشهای رشد را متوقف کرده و کل پشته امنیتی خود را بررسی امنیتی کنند.
دریفت خاطرنشان کرد که افرادی که حضوری ظاهر شدند، اتباع کره شمالی نبودند. بازیگران تهدید DPRK در این سطح به استقرار واسطههای شخص ثالث برای تعامل رو در رو شناخته شدهاند.
Mandiant، که دریفت برای پزشکی دستگاه با آن قرارداد بسته است، هنوز به طور رسمی سوءاستفاده را نسبت نداده است.
این افشاگری به عنوان یک هشدار برای اکوسیستم گستردهتر عمل میکند. دریفت از تیمها خواست تا کنترلهای دسترسی را بررسی کنند، هر دستگاهی که به یک چندامضایی دست میزند را به عنوان یک هدف بالقوه در نظر بگیرند و در صورت مشکوک بودن به هدفگیری مشابه با SEAL 911 تماس بگیرند.
پست سرقت ۲۸۵ میلیون دلاری پروتکل دریفت با یک دست دادن و ۶ ماه اعتماد آغاز شد، ابتدا در BeInCrypto ظاهر شد.
منبع: https://beincrypto.com/drift-north-korea-spy-operation-hack/
