گروه جنایی CryptoCore
محققان Infosec بر این باورند که توانستهاند هویت گروه مجرم سایبری را که مسئول چندین کمپین حمله چند میلیونی است که عمدتاً صرافیهای ارزهای دیجیتال را هدف قرار میدهند، کشف کنند. این گروه هکر توسط کارشناسان امنیتی که فعالیت آن را ردیابی می کنند، نام CryptoCore را به خود اختصاص داده است. گزارش اولیه این حملات را به هکرهای اروپای شرقی نسبت داد که احتمالاً در کشورهای منطقه مانند اوکراین، روسیه و رومانی قرار دارند.
چندین فروشنده امنیت سایبری با انتشار یافتههای خود در مورد عملیات مخرب مختلف که شباهتهای قابل توجهی با فعالیتهای مشاهدهشده توسط محققان امنیتی داشتند، این گزارش را دنبال کردند. گزارش F-SECURE جزئیاتی را در مورد یک کمپین چند ملیتی در مقیاس بزرگ علیه کیف پولهای رمزنگاری نشان داد، در حالی که CERT JPCERT/CC ژاپن یافتههای خود را پس از تجزیه و تحلیل حملات متعدد علیه شرکتهای ژاپنی به اشتراک گذاشت. آخرین قطعه گزارشی از NTT Security، یک شرکت امنیت سایبری ژاپنی، در رابطه با کمپینی بود که آنها با نام CRYPTOMIMIC ردیابی کردند.
پس از ترکیب و مقایسه اطلاعات جمعآوریشده، محققان شواهد کافی برای نسبت دادن عملیات CryptoCore با اطمینان متوسط به بالا به گروه هکر لازاروس تحت حمایت دولت کره شمالی داشتند. این نتیجه گیری های قبلی توسط F-Secure را تایید کرد.
جزئیات حمله CryptoCore
این حملات برای اولین بار در سال 2018 شناسایی شد و شامل تاکتیکهای فیشینگ نیزهای بود که برای به دست آوردن جای پایی در نهاد مورد نظر طراحی شده بود. هکرها هویت های متفاوتی را در نظر گرفتند و با کاربران انتخاب شده ارتباط برقرار کردند. قربانیان سپس فریب داده شدند تا یک یا چند فایل خراب را روی رایانه خود دانلود کنند. بین سالهای 2018 و 2020، 5 کمپین حمله مختلف به عنوان بخشی از عملیات CryptoCore تعیین شد. نهادهای در معرض خطر شامل سه صرافی مختلف ارزهای دیجیتال و چندین شرکت ژاپنی بودند. زیان تخمینی در نتیجه هک ها بیش از 200 میلیون دلار است.
به نظر می رسد که مجرمان سایبری با وارد کردن اهداف اسرائیلی در عملیات اخیر خود، دامنه فعالیت های خود را گسترش می دهند. این تغییر ممکن است نشانه ای از تعدیل مجدد در تمرکز آنها باشد یا اینکه هکرها به دنبال شرکت هایی هستند که با مشخصات مالی خاصی مطابقت دارند.