گروه جنایی CryptoCore

محققان Infosec بر این باورند که توانسته‌اند هویت گروه مجرم سایبری را که مسئول چندین کمپین حمله چند میلیونی است که عمدتاً صرافی‌های ارزهای دیجیتال را هدف قرار می‌دهند، کشف کنند. این گروه هکر توسط کارشناسان امنیتی که فعالیت آن را ردیابی می کنند، نام CryptoCore را به خود اختصاص داده است. گزارش اولیه این حملات را به هکرهای اروپای شرقی نسبت داد که احتمالاً در کشورهای منطقه مانند اوکراین، روسیه و رومانی قرار دارند.

چندین فروشنده امنیت سایبری با انتشار یافته‌های خود در مورد عملیات مخرب مختلف که شباهت‌های قابل توجهی با فعالیت‌های مشاهده‌شده توسط محققان امنیتی داشتند، این گزارش را دنبال کردند. گزارش F-SECURE جزئیاتی را در مورد یک کمپین چند ملیتی در مقیاس بزرگ علیه کیف پول‌های رمزنگاری نشان داد، در حالی که CERT JPCERT/CC ژاپن یافته‌های خود را پس از تجزیه و تحلیل حملات متعدد علیه شرکت‌های ژاپنی به اشتراک گذاشت. آخرین قطعه گزارشی از NTT Security، یک شرکت امنیت سایبری ژاپنی، در رابطه با کمپینی بود که آنها با نام CRYPTOMIMIC ردیابی کردند.

پس از ترکیب و مقایسه اطلاعات جمع‌آوری‌شده، محققان شواهد کافی برای نسبت دادن عملیات CryptoCore با اطمینان متوسط به بالا به گروه هکر لازاروس تحت حمایت دولت کره شمالی داشتند. این نتیجه گیری های قبلی توسط F-Secure را تایید کرد.

جزئیات حمله CryptoCore

این حملات برای اولین بار در سال 2018 شناسایی شد و شامل تاکتیک‌های فیشینگ نیزه‌ای بود که برای به دست آوردن جای پایی در نهاد مورد نظر طراحی شده بود. هکرها هویت های متفاوتی را در نظر گرفتند و با کاربران انتخاب شده ارتباط برقرار کردند. قربانیان سپس فریب داده شدند تا یک یا چند فایل خراب را روی رایانه خود دانلود کنند. بین سال‌های 2018 و 2020، 5 کمپین حمله مختلف به عنوان بخشی از عملیات CryptoCore تعیین شد. نهادهای در معرض خطر شامل سه صرافی مختلف ارزهای دیجیتال و چندین شرکت ژاپنی بودند. زیان تخمینی در نتیجه هک ها بیش از 200 میلیون دلار است.

به نظر می رسد که مجرمان سایبری با وارد کردن اهداف اسرائیلی در عملیات اخیر خود، دامنه فعالیت های خود را گسترش می دهند. این تغییر ممکن است نشانه ای از تعدیل مجدد در تمرکز آنها باشد یا اینکه هکرها به دنبال شرکت هایی هستند که با مشخصات مالی خاصی مطابقت دارند.