Sapphire Sleet APT

उत्तर कोरिया से जुड़े खतरे वाले समूह, जिसे सैफायर स्लीट के नाम से जाना जाता है, ने कथित तौर पर छह महीने की अवधि में सोशल इंजीनियरिंग योजनाओं के माध्यम से क्रिप्टोकरेंसी में $10 मिलियन से अधिक की कमाई की है। शोध निष्कर्षों से पता चलता है कि उत्तर कोरिया से जुड़े विभिन्न खतरे वाले समूह फर्जी लिंक्डइन प्रोफाइल बना रहे हैं। भर्ती करने वालों और नौकरी चाहने वालों दोनों की नकल करने के लिए डिज़ाइन किए गए इन प्रोफाइल का उद्देश्य अवैध गतिविधियों को बढ़ावा देना और भारी प्रतिबंधित शासन के लिए वित्तीय सहायता जुटाना है।

कम से कम 2020 से सक्रिय, सैफायर स्लीट अन्य हैकिंग संस्थाओं, जैसे कि APT38 और ब्लूनॉरॉफ़ के साथ संबंध साझा करता है। नवंबर 2023 में, शोधकर्ताओं ने खुलासा किया कि समूह ने कौशल मूल्यांकन प्लेटफ़ॉर्म की नकल करने वाले बुनियादी ढाँचे की स्थापना की थी, इन साइटों का लाभ उठाकर अपनी सामाजिक इंजीनियरिंग रणनीति को अंजाम दिया।

नीलम स्लीट द्वारा अपनाई गई भ्रामक रणनीति

पिछले एक साल में, समूह ने मुख्य रूप से वेंचर कैपिटलिस्ट का रूप धारण करने की रणनीति अपनाई है, ऑनलाइन मीटिंग की व्यवस्था करने के लिए लक्ष्य के व्यवसाय में रुचि का दिखावा किया है। जब लक्ष्य मीटिंग में शामिल होने का प्रयास करते हैं, तो उन्हें त्रुटि संदेश मिलते हैं, जिसमें उन्हें सहायता के लिए मीटिंग व्यवस्थापक या सहायता टीम से संपर्क करने का निर्देश दिया जाता है।

यदि पीड़ित अनुपालन करता है, तो हमलावर समस्या को हल करने की आड़ में पीड़ित के ऑपरेटिंग सिस्टम के अनुरूप AppleScript (.scpt) फ़ाइल या Visual Basic Script (.vbs) फ़ाइल प्रदान करते हैं। पर्दे के पीछे, ये स्क्रिप्ट पीड़ित के macOS या Windows डिवाइस पर दुर्भावनापूर्ण सॉफ़्टवेयर तैनात करने के लिए डिज़ाइन की गई हैं, जिससे हमलावर क्रेडेंशियल प्राप्त कर सकते हैं और बाद में चोरी के लिए क्रिप्टोकरेंसी वॉलेट तक पहुँच सकते हैं।

लक्ष्य को मूर्ख बनाने के लिए वैध संस्था का रूप धारण करना

सैफायर स्लीट को लिंक्डइन पर गोल्डमैन सैक्स जैसे प्रमुख वित्तीय संस्थानों के लिए भर्ती करने वालों का रूप धारण करते हुए देखा गया है। इस रणनीति में संभावित लक्ष्यों से संपर्क करना और उन्हें खतरे वाले अभिनेताओं द्वारा नियंत्रित वेबसाइट पर होस्ट किए गए कौशल मूल्यांकन को पूरा करने के लिए आमंत्रित करना शामिल है।

पीड़ितों को धोखाधड़ी वाली साइट तक पहुँचने के लिए साइन-इन अकाउंट और पासवर्ड दिया जाता है। लॉग इन करने और कथित मूल्यांकन से संबंधित फ़ाइलों को डाउनलोड करने पर, वे अनजाने में अपने डिवाइस पर मैलवेयर इंस्टॉल कर लेते हैं, जिससे हमलावरों को उनके सिस्टम तक अनधिकृत पहुँच मिल जाती है।

इसके अलावा, साइबर सुरक्षा विश्लेषकों ने बहुआयामी रणनीति के तहत उत्तर कोरिया द्वारा विदेशों में हजारों आईटी कर्मचारियों की तैनाती पर प्रकाश डाला है। ये कर्मचारी वैध रोजगार के माध्यम से शासन के लिए राजस्व उत्पन्न करते हैं, बौद्धिक संपदा की चोरी करने के लिए अपनी पहुँच का फायदा उठाते हैं और फिरौती की माँग के लिए डेटा चोरी में संलग्न होते हैं।

उत्तर कोरिया में बैंक खाते खोलने या फ़ोन नंबर प्राप्त करने में असमर्थता जैसे प्रतिबंधों के कारण, ये आईटी ऑपरेटिव प्लेटफ़ॉर्म तक पहुँच प्राप्त करने के लिए बिचौलियों पर निर्भर हैं जहाँ वे दूरस्थ नौकरी प्राप्त कर सकते हैं। ये सुविधाकर्ता फ्रीलांस जॉब साइट्स पर अकाउंट बनाने और GitHub और LinkedIn जैसे प्लेटफ़ॉर्म पर नकली प्रोफ़ाइल और पोर्टफोलियो सेट करने जैसे कार्यों में सहायता करते हैं ताकि भर्ती करने वालों से बातचीत की जा सके और रोजगार के अवसरों के लिए आवेदन किया जा सके।

साइबर अपराधी अपने कार्यों में एआई-प्रौद्योगिकियाँ अपना रहे हैं

कुछ मामलों में, समूह को पीड़ितों से प्राप्त फ़ोटो और दस्तावेज़ों को बदलने के लिए फ़ेसस्वैप जैसे कृत्रिम बुद्धिमत्ता (एआई) उपकरणों का लाभ उठाते हुए पाया गया है। इन संशोधित छवियों को, अक्सर पेशेवर सेटिंग्स में रखा जाता है, फिर नौकरी के आवेदनों के लिए प्रस्तुत किए गए रिज्यूमे या प्रोफाइल पर इस्तेमाल किया जाता है - कभी-कभी कई पहचानों के तहत।

नौकरी के आवेदनों के लिए छवि हेरफेर के अलावा, उत्तर कोरियाई आईटी कर्मचारी अपने भ्रामक प्रयासों को बढ़ाने के लिए आवाज बदलने वाले सॉफ्टवेयर सहित अन्य एआई प्रौद्योगिकियों की भी खोज कर रहे हैं।

उत्तर कोरियाई आईटी कर्मचारी अपने द्वारा प्राप्त किए जाने वाले भुगतानों पर नज़र रखने के लिए एक सुव्यवस्थित प्रणाली बनाए रखते हैं। अनुमान है कि उनके संयुक्त प्रयासों से कम से कम $370,000 का राजस्व उत्पन्न हुआ है।