محققان می گویند هکرهای کره شمالی که JumpCloud را هدف قرار داده اند، به اشتباه آدرس IP آنها را فاش کرده اند

محققان امنیتی می گویند به دلیل اشتباهی که هکرها مرتکب شدند، اطمینان زیادی دارند که هکرهای کره شمالی در پس نفوذ اخیر در شرکت نرم افزاری سازمانی JumpCloud بوده اند.

Mandiant که به یکی از مشتریان آسیب دیده JumpCloud کمک می کند، این رخنه را به هکرهایی نسبت داد که برای اداره عمومی شناسایی کره شمالی یا RGB، یک واحد هکری که شرکت های ارزهای دیجیتال را هدف قرار می دهد و رمزهای عبور مدیران و تیم های امنیتی را می دزدد. کره شمالی مدت‌هاست که از دزدی رمزارز برای تامین مالی برنامه تسلیحات هسته‌ای تحریم شده خود استفاده می‌کند.

Mandiant در یک پست وبلاگی گفت که واحد هک، که آن را UNC4899 می‌نامد (از آنجایی که یک گروه تهدید جدید و طبقه‌بندی نشده است)، به اشتباه آدرس‌های IP دنیای واقعی خود را افشا کرده است. هکرهای کره شمالی اغلب از سرویس‌های VPN تجاری برای پنهان کردن آدرس‌های IP خود استفاده می‌کنند، اما در «بسیاری مواقع» VPN‌ها کار نمی‌کنند یا هکرها هنگام دسترسی به شبکه قربانی از آن‌ها استفاده نمی‌کنند و دسترسی آن‌ها از پیونگ یانگ را فاش می‌کنند.

Mandiant گفت که شواهد آن نشان می دهد که این یک “لغزش OPSEC” است، با اشاره به امنیت عملیاتی – روشی که در آن هکرها سعی می کنند از درز اطلاعات مربوط به فعالیت خود به عنوان بخشی از کمپین های هک خود جلوگیری کنند. محققان گفتند همچنین زیرساخت های اضافی مورد استفاده در این نفوذ را کشف کردند که قبلاً توسط هک های منتسب به کره شمالی استفاده می شد.

«بازیگران تهدید کره شمالی به بهبود قابلیت‌های تهاجمی سایبری خود برای سرقت ارزهای دیجیتال ادامه می‌دهند. چارلز کارماکال، مدیر ارشد فناوری Mandiant، گفت: در طول سال گذشته، ما شاهد انجام حملات متعدد زنجیره تامین، مسموم کردن نرم‌افزارهای قانونی و توسعه و استقرار بدافزارهای سفارشی بر روی سیستم‌های MacOS بوده‌ایم. آن‌ها در نهایت می‌خواهند شرکت‌ها را با ارزهای دیجیتال به خطر بیاندازند و راه‌های خلاقانه‌ای برای رسیدن به آن پیدا کرده‌اند. اما آنها همچنین اشتباهاتی مرتکب می شوند که به ما کمک کرده است تا چندین نفوذ را به آنها نسبت دهیم.”

SentinelOne و CrowdStrike همچنین تأیید کردند که کره شمالی در پشت حمله JumpCloud قرار دارد.

JumpCloud هفته گذشته در یک پست کوتاه گفت که کمتر از پنج مشتری شرکتی و کمتر از 10 دستگاه مورد هدف کمپین هک کره شمالی قرار گرفته اند. JumpCloud پس از گزارش یک نفوذ در ماه ژوئن، کلیدهای API مشتری خود را بازنشانی کرد. JumpCloud بیش از 200000 مشتری سازمانی از جمله GoFundMe، ClassPass و Foursquare دارد.