بررسی هک صرافی نوبیتکس؛ چگونه بیش از 90 میلیون دلار رمزارز نابود شد!

بررسی هک نوبیتکس

فهرست مطالب

دنیای رمزارز بار دیگر شاهد یک حمله سنگین شد، نوبیتکس صرافی رمز ارز ایرانی در مورخه 28 خرداد 1404 درگیر یک حمله سایبری بسیار پیچیده شد که در نتیجه  بیش از 90 میلیون دلار دارایی رمز ارز خود را از دست داد. گنجشک درنده، گروه هکری وابسته به دولت اسرائیل مسئول این هک بوده و توانسته‌اند ارزدیجیتال‌ها را از کیف پول‌های گرم به کیف پول‌های غیر قابل دسترسی انتقال دهند. این بدین معناست که ارزهای منتقل شده در دسترس هیچکس نیست و این هک بیش از آن که سرقت باشد،  نابودن کردن دارایی هاست.

اما در پشت پرده این هک جزئیاتی در خصوص آلوده شدن سیستم کارمندان حساس این صرافی به بدافزار infostealer دیده می‌شود که ممکن است هکرها با استفاده از آن دسترسی به سیستم‌های معاملاتی داخلی را پیدا کرده‌اند. گزارشی که در ادامه به آن خواهیم پرداخت توسط سایت Infostealer منتشر شده است.

بررسی جزئیات هک نوبیتکس

هادسون راک تحلیلگر سایبری، با بررسی گزارشات 30 میلیون سیستم آلوده شده در سطح جهان، متوجه شده است که سیستم دو کارمند نوبیتکس که دسترسی قابل توجهی به سرورها داشته‌اند در دام کمپین‌های infostealer ها افتاده‌اند. این نوع بدافزارها طراحی شده‌اند تا اطلاعات بسیار حساسی همچون، اطلاعات کاربری، تاریخچه مرورگر و کوکی‌ها را استخراج کند. گزارشات نشان می‌دهند که سیستم‌های هک شده شامل گنجیه‌ای از اطلاعات بسیار حساس هستند که شامل:

  • اطلاعات کاربری ایمیل: bitex-mail.nobitex.net/owa/
  • اطلاعات کاربری ادمین مربوط به سیستم‌های داخلی نوبیتکس: nxbo.ir
  • اطلاعات کاربری شبکه آزمایشی (TestNet): nobitex.ir
  • اطلاعات کاربری جیرا نوبیتکس: nxbo.ir/login.jsp
  • انواع کوکی‌ مربوط به سیستم‌های داخلی

کارمند شماره 1

در سپتامبر سال 2024 یک کامپیوتر ایرانی به بدافزاری به نام Steal C آلوده می‌شود. بر اساس داده‌های استخراج شده، به نظر می‌آید که کامپیوتر متعلق به یک توسعه دهنده مستقر در شرکت باشد و اطلاعات کاربری سازمان ذخیره شده در سیستم نشان دهنده دسترسی حساس به زیرساخت شرکت می‌باشند.

nobitex hack 1
nobitex hack 2
nobitex hack 3
کوکی‌های مربوط به سیستم‌های متنوع نوبیتکس

کارمند شماره 2

در سپتامبر سال 2023 یک کامپیوتر به بدافزار Redline آلوده شده و از اطلاعات استخراج شده می‌تواند حدس زد که مربوط به شرکت نوبیتکس می‌باشد. این اطلاعات شامل اطلاعات کاربری به شبکه داخلی شرکت است.

nobitex hack 4

همچنین اطلاعات حساب کاربری جیرا (Jira) مربوط به سرورهای شرکت نیز ممکن است به هکرها در نفوذ به سازمان کمک کرده باشد. قبلا موارد مشابهی در خصوص سوء استفاده از اطلاعات کاربری جیرا توسط هکرها در سراسر دنیا مشاهده شده است.

nobitex hack 5
nobitex hack 6
تاریخچه مرورگر سیستم آلوده شده نیز حاوی اطلاعات مهمی در خصوص نحوه عملیات شرکت است.

به نظر می‌رسد گروه گنجشک درنده در جریان این هک، کدهای منبعی را نیز به سرقت برده باشد که صرافی نوبیتکس را در آینده نیز تهدید می‌کند. صرافی نوبیتکس در اطلاعیه خود در تاریخ 28 مرداد اعلام کرده است که این هک کیف پول‌های گرم را تحت تاثیر قرار داده و دارای کاربران مطابق استانداردهای ذخیره سازی سرد در امنیت کامل می‌باشد.

هشدار به صرافی‌های رمزارز

حادثه امنیتی نوبیتکس یک یادآور جدی است: بدافزارهای سارق اطلاعات نیروهای پیشرو در حملات هستند. با بیش از 2 میلیارد دلار در حملات رمز ارز فقط در سال 2025، صرافی‌ها نباید تهدیدات در کمین نقاط پایانی کارکنان خود را نادیده بگیرند. با اینکه نوبیتکس مسئولیت دارایی‌های از دست رفته کاربران را قبول کرده است، اما خسارت وارد شده و جبران آن بسیار سخت.

جامعه رمز از باید این هشدار را جدی بگیرند و خود را بیش از پیش برای چنین تهدیداتی آماده نگه دارند. فقط دو سیستم هک شده با دسترسی ادمین، یک هک هدفمند و یک فاجعه مالی. هادسون راک تاکید می‌کند که راهکار امنیت نقاط پایانی قوی، بررسی اطلاعات کاربری به صورت مرتب و آموزش و آگاهی بخشی کارکنان در خصوص حملات فیشینگ هدفمند بسیار حائر اهمیت است.

نتیجه گیری

بدافزارهای سارق اطلاعات تهدیدات جدی و در حال گسترشی هستند که به هکرها اجازه انجام حملات جدی بر علیه سازمان‌ها را می‌دهد. با نقوذ به سیستم‌های ضعیف مانند، سرور ایمیل و VPN هکرها می‌توانند به اطلاعات و سیستم‌های حساس دسترسی پیدا کنند. برای مقابله با آن سازمان‌ها باید معیارهای امنیتی سایبری خود را بازنگری و بهبود بخشند. بهره گیری از راهکارهای هوش تهدید، سرویس‌های خدمات امنیت و پیاده سازی SOC می‌تواند تاثیر بسزایی در افزایش شفافیت در خصوص اطلاعات کاربری به سرقت رفته داشته باشد. هشدارهای زنده و آنی به سازمان‌ها کمک می‌کند آسیب پذیری‌ها را به سرعت شناسایی کنند و قبل از اینکه خیلی دیر شود آن را برطرف کنند.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *