به نقل از کریپتوپوتیتو، هکرها به کمک یک بازی جعلی مبتنی بر توکنهای غیرمثلی (NFT) حمله سایبری پیچیدهای علیه گوگلکروم انجام دادهاند. به نظر میرسد این هکرها با گروه لازاروس کره شمالی در ارتباط هستند. بر اساس گزارشها، مهاجمان از آسیبپذیری روز صفر این نرمافزار سوءاستفاده کردند و موفق شدند به کیف پولهای ارز دیجیتال کاربران دسترسی پیدا کنند.
سواستفاده از آسیبپذیری روز صفر گوگل کروم چطور انجام شده است؟
قبل از هر چیز، باید بدانید که حمله روز صفر (Zero-Day) در واقع به نقصی در نرمافزار یا سختافزار گفته میشود که پیش از سوءاستفاده هکرها، از دید توسعهدهندگان پنهان بوده است.
طبق توضیحات بوریس لارین (Boris Larin) و واسیلی بردنیکوف (Vasily Berdnikov)، تحلیلگرهای امنیتی شرکت کسپرسکای (Kaspersky)، عاملان این هک، یک بازی بلاکچینی با نام دیتنکزون (DeTankZone) را از روی نسخه اورجینال کپی و آن را بهعنوان یک بازی آنلاین چندنفره با امکان کسب درآمد معرفی کردند.
این افراد در نهایت با گنجاندن یک کد برنامهنویسی مخرب در سایت بازی، دستگاه قربانیان را آلوده کردند. این موضوع، شامل افرادی که حتی دانلودی از این سایت نداشتهاند هم میشود. این کد مخرب از یک باگ بسیار مهم در انجین جاوا اسکریپت وی۸ کروم (Chrome’s V8 JavaScript engine) سوءاستفاده کرد و با دورزدن موارد ایمنی، امکان فعالشدن از راه دور را برای هکرها فعال کرد. این امر در نهایت به هکرها اجازه داد که با نصب یک بدافزار پیشرفته با نام منیواسکریپت (Manuscrypt)، کنترل سیستم قربانیان را به دست بگیرند.
این باگ امنیتی در نهایت با انتشار گزارشی از طرف شرکت کسپرسکای به گوگل برطرف شد؛ اما هکرها درهرصورت به هدف خود رسیدند. نکته قابلتوجه در تمام این ماجرا، بهکارگیری تاکتیکهای مهندسی اجتماعی (Social Engineering) در تبلیغ این بازی توسط مهاجمان بود که حتی تحلیلگرهای کسپرسکی را هم حیرتزده کرده است.
مهاجمان این بازی را بهصورت گسترده در شبکه اجتماعی ایکس و لینکدین تبلیغ کردند و حتی توانستند برخی اینفلوئنسرهای معروف حوزه ارزهای دیجیتال را هم درگیر کنند. ایجاد یک وبسایت کامل و صفحه لینکدین حرفهای، از مواردی بود که به این بازی مشروعیت بخشید و کاربران را فریب داد.
گروه لازاروس و ارزهای دیجیتال
در کمال تعجب، این بازی انافتی صرفا یک پوسته توخالی نبود؛ بلکه یک بازی کامل بود و گیمپلی هم داشت. بااینحال، اطلاعات حساس بهویژه دادههای کیف پول هر کسی که از وبسایت این بازی بازدید میکرد، جمعآوری میشدند.
گروه لازاروس اولین بار نیست که از طریق ارزهای دیجیتال دست به هک و کلاهبرداری میزند. آنها بین سالهای ۲۰۲۰ تا ۲۰۲۳ بیش از ۲۵ هک انجام دادهاند و ۲۰۰ میلیون دلار به سرقت بردهاند. علاوهبر این، وزارت خزانهداری آمریکا این گروه را با هک پل رونین (Ronin Bridge) در سال ۲۰۲۲ مرتبط کرده که طبق گزارشها، باعث سرقت بیش از ۶۰۰ میلیون دلار اتریوم و توکن یواسدیسی شد.
همچنین دادههای منتشرشده توسط شرکت مادرِ پلتفرم ۲۱شرز (۲۱Shares) که در سپتامبر (مهر) ۲۰۲۳ به دست آمده، نشان میدهد که این گروه بیش از ۴۷ میلیون دلار از ارزهای دیجیتال مختلف شامل بیتکوین، بایننسکوین، آوالانچ و پالیگان به سرقت برده است. در مجموع، میتوان گفت که ارزش کل داراییهای دزدیدهشده توسط این گروه بین سالهای ۲۰۱۷ تا ۲۰۲۳ به بیش از ۳ میلیارد دلار میرسد!