Hakerzy z Korei Północnej ukradli miliony kryptowalut na całym świecie

Lazarus BlueNoroff został powiązany z serią cyberataków wymierzonych w małe i średnie firmy na całym świecie w związku z kradzieżą funduszy kryptowalutowych.
Rosyjska firma Kaspersky zajmująca się bezpieczeństwem cybernetycznym, która śledzi włamania pod nazwą „SnatchCrypto”, zauważyła, że ​​kampania trwa od 2017 roku, dodając, że ataki są wymierzone w startupy z sektora FinTech zlokalizowane w Chinach, Hongkongu, Indiach, Polsce, Rosji, Singapurze, Słowenii, Czechach, Zjednoczonych Emiratach Arabskich, USA, Ukrainie i Wietnamie.
„Atakujący subtelnie nadużywają zaufania pracowników pracujących w atakowanych firmach, wysyłając im w pełni funkcjonalnego backdoora dla systemu Windows z funkcjami nadzoru, ukrytego jako umowa lub inny plik biznesowy” – powiedzieli naukowcy. „Aby ostatecznie opróżnić portfel kryptograficzny ofiary, hakerzy opracowali rozległe i niebezpieczne zasoby: złożoną infrastrukturę, exploity i złośliwe oprogramowanie”.
BlueNoroff i Lazarus są znane z wdrażania zróżnicowanego złośliwego oprogramowania do wielokierunkowego ataku na firmy w celu nielegalnego pozyskiwania funduszy. Wykorzystując zaawansowane taktyki phishingowe oraz zaawansowane złośliwe oprogramowanie.
Według raportu opublikowanego przez firmę Chainalysis zajmującą się analizą blockchain, Lazarus Group została powiązana z siedmioma atakami na platformy kryptowalutowe, które w samym 2021 roku wydobyły aktywa cyfrowe o wartości prawie 400 milionów dolarów, w porównaniu z 300 milionami dolarów w 2020 roku.
„Ataki te były wymierzone głównie w firmy inwestycyjne i scentralizowane giełdy […] w celu wyprowadzania funduszy z portfeli tych organizacji podłączonych do Internetu na adresy kontrolowane przez KRLD” – powiedzieli badacze. „Kiedy Korea Północna przejęła kontrolę nad funduszami, rozpoczęła ostrożny proces prania, i wypłacania za pomocą mikserów zacierając przy tym wszelkie ślady”.
Udokumentowana szkodliwa aktywność z udziałem podmiotu państwowego przybrała formę cybernapadów na zagraniczne instytucje finansowe, w szczególności włamań do sieci bankowych SWIFT w latach 2015-2016. Natomiast ostatnie kampanie doprowadziły do ​​wdrożenia backdoora o nazwie AppleJeus, który podszywa się pod platformę handlu kryptowalutamia służy do kradzieży i przelewania pieniędzy konta hakerów.
Ataki SnatchCrypto są częścią wysiłków hakerów skoncentrowanych na „śledzeniu i badaniu” firm kryptowalutowych i poprzez wymyślanie skomplikowanych schematów inżynierii społecznej, budują zaufanie ze swoimi celami. Udając przy tym legalne firmy venture capital, tylko po to, by zwabić ofiary i nakłonić je do otwarcia dokumentów zawierających złośliwe oprogramowanie, które jest pobierane poprzez zaszyfrowany kanał ze zdalnego serwera.
Alternatywną metodą stosowaną jest użycie plików skrótów systemu Windows (.LNK) w celu pobrania szkodliwego oprogramowania do następnego etapu ataku. Uruchamiany skrypt Visual Basic, który następnie działa jako punkt wyjściowy w celu wykonania serii tzw. ładunków pośrednich, przed zainstalowaniem w pełni funkcjonalnego backdoora z „wzbogaconymi” możliwościami przechwytywania zrzutów ekranu, nagrywania naciśnięć klawiszy, kradzieży danych z przeglądarki Chrome i wykonywania dowolnych poleceń.
Ostatecznym celem ataków jest jednak monitorowanie transakcji finansowych zaatakowanych użytkowników i kradzież kryptowalut. Jeśli potencjalny cel użyje rozszerzenia Chrome, takiego jak Metamask, do zarządzania portfelami kryptograficznymi i do ostrzegania operatorów za każdym razem, gdy zostanie wykonany duży transfer na inne konto, atakujący potajemnie podmienia główny komponent rozszerzenia na fałszywą wersję. W końcowej fazie przez wstrzyknięcie złośliwego kodu w celu przechwycenia i zmodyfikowania szczegółów transakcji na żądanie. „Atakujący modyfikują nie tylko adres odbiorcy [portfela], ale także zwiększają ilość waluty do granic możliwości, zasadniczo opróżniając konto jednym ruchem” – wyjaśniają naukowcy.
„Kryptowaluty to silnie ukierunkowany sektor, jeśli chodzi o cyberprzestępczość ze względu na zdecentralizowany charakter walut oraz fakt, że w przeciwieństwie do kart kredytowych lub przelewów bankowych, transakcja odbywa się szybko i jest niemożliwa do odwrócenia”- Erich Kron, rzecznik świadomości bezpieczeństwa w KnowBe4.
„Państwa narodowe, zwłaszcza te objęte surowymi sankcjami lub innymi ograniczeniami finansowymi, mogą odnieść znaczne korzyści, kradnąc i manipulując kryptowalutą. Wiele razy portfel kryptowaluty może zawierać wiele rodzajów kryptowalut, co czyni je bardzo atrakcyjnym celem” – dodał Kron.