گزارشی از گروه اطلاعات تهدید گوگل درباره یک کارزار نرمافزاری مخرب هشدار داده که توسط کره شمالی اجرا شده است و از تکنیکی به نام EtherHiding استفاده میکند. این کارزار از قرارداد هوشمند در زنجیره عمومی، مانند اتریوم یا بیانبی، برای جلوگیری از حذف یا پاکسازی توسط روشهای سنتی استفاده میکند.
Google: کره شمالی از بلاکچین برای توزیع بدافزار استفاده میکند
نویسنده
اشتراک
هشدار گوگل درباره قرار دادن بدافزار توسط کره شمالی در بلاکچینهای عمومی
واقعیتها:
در گزارشی که در 16 اکتبر منتشر شد، گروه اطلاعات تهدید گوگل درباره استفاده از بلاکچینهای عمومی برای پنهان کردن نرمافزارهای مخرب توسط اقدامات تهدید دولتی، از جمله کره شمالی، هشدار داد.
این کارزار از روشی به نام “EtherHiding” استفاده میکند که به مهاجمین اجازه میدهد کد مخرب را به عنوان بخشی از یک قرارداد هوشمند در بلاکچینهای عمومی مانند اتریوم و زنجیره BNB جابهجا کنند. این روش در سال 2023 افزایش یافته است، اما گوگل اعلام کرده که این اولین باری است که مشاهده کرده که یک ملت از این روش استفاده میکند.
EtherHiding همچنین شامل کارزارهای مهندسی اجتماعی پیشبینیشده است که شامل تاسیس شرکتهای جعلی و هدف قرار دادن پروفایلهای شغلی مرتبط با صنعت ارزهای دیجیتال یا پروتکلهای شناختهشده ارزهای دیجیتال میشود.
آلودگی زمانی رخ میدهد که افراد علاقهمند به آزمونهای برنامهنویسی که شامل دانلود ابزارهای آلوده یا از طریق دانلود نرمافزار ملاقات ویدیویی میشود، شرکت میکنند.
گوگل تاکید کرده که JADESNOW، یک بدافزار مورد استفاده کره شمالی که از EtherHiding بهره میبرد، نشاندهنده انعطافپذیری این ابزارها مبتنی بر بلاکچین است. با بررسی آن، گروه متوجه شده که قرارداد مخرب بیش از 20 بار در طی چهار ماه اول بهروزرسانی شده است و برای هر بهروزرسانی 1.37 دلار هزینه گاز پرداخت شده است.
“هزینه پایین و فرکانس این بهروزرسانیها توانایی مهاجم برای به سادگی تغییر پیکربندی کارزار نشان میدهد.” گوگل اعلام کرد.
چرا این مورد مهم است:
استفاده از این نوع تکنیک که در آن بلاکچین به عنوان مکانیزم توزیع برای بدافزار استفاده میشود، ممکن است مقامات نظارتی را به سمت یک رویکرد سختگیرانهتر در مورد پذیرش این فناوریها سوق دهد.
در حالی که بدافزار میزبانیشده در یک سرور راه دور میتواند هدف قرار گیرد و حذف شود، غیرقابل تغییر بودن بلاکچین به این معناست که شرکتهای امنیتی باید راههای دیگری برای جلوگیری از گسترش، هدف قرار دادن ارائهدهندگان API که اجازه انتقال این کد را به قربانیان میدهند، پیدا کنند.
گروه گوگل خود اعلام کرده که این رویکرد جدید “چالشهای جدیدی” به همراه دارد زیرا “قراردادهای هوشمند به صورت خودکار عمل میکنند و نمیتوان آنها را غیرفعال کرد.”
به آینده:
تحلیلگران انتظار دارند که استفاده از این نوع تکنیک در آینده به رشد خود ادامه دهد و با فرآیندهای نوآورانه دیگر ترکیب شود تا آنها را حتی خطرناکتر کند و سیستمهایی که به طور مستقیم با بلاکچینها یا کیفپولها سر و کار دارند، هدف قرار دهند.
پرسشهای متداول 🧭
-
گوگل چه تهدید اخیر را در رابطه با بلاکچینهای عمومی شناسایی کرده است؟
گوگل گزارش داد که فعالان دولتی، از جمله کره شمالی، از روشی به نام “EtherHiding” برای جاگذاری بدافزار در قراردادهای هوشمند بر روی بلاکچینهای عمومی مانند اتریوم و زنجیره BNB استفاده میکنند. -
روش EtherHiding چگونه کار میکند؟
EtherHiding به مهاجمین اجازه میدهد که کدهای مخرب را درون قراردادهای هوشمند پنهان کنند و به تاکتیکهای مهندسی اجتماعی مانند ایجاد شرکتهای جعلی برای فریب جویان شغل مرتبط با ارزهای دیجیتال متکی است. -
چه بدافزار خاصی با این تکنیک جدید مرتبط است؟
گزارش JADESNOW، یک بدافزار کره شمالی که از EtherHiding بهره میبرد، را برجسته میکند و نشان از بهروزرسانیهای مکرر و هزینههای عملیاتی پایین برای تغییر پیکربندی حمله دارد. -
چه پیامدهایی این تکنیک برای تنظیمات بلاکچین دارد؟
به دلیل مشکلات موجود در حذف بدافزارها از بلاکچینها به دلیل غیرقابل تغییر بودن آنها، مقامات نظارتی ممکن است به دنبال کنترلهای سختگیرانهتری برای فناوریهای بلاکچین باشند تا خطرات افزایش استفاده از بدافزار در محیطهای ارزهای دیجیتال را کاهش دهند.
