incrypted.com
- Команда Radiant Capital опубликовала промежуточный отчет по октябрьскому взлому.
- Согласно ему, за атакой стоит северокорейская группировка UNC4736.
- Взлом произошел из-за архива с вредоносным ПО, который получил разработчик протокола.
- По данным ZachXBT, адрес, связанный со взломщиками проекта, свободно торгует на Hyperliquid.
За взломом протокола Radiant Capital в октябре 2024 года, вероятно, стоит группировка UNC4736, связанная с властями КНДР. Об этом говорится в новом отчете команды проекта.
Напомним, этот инцидент произошел в середине октября 2024 года. Вероятный ущерб составляет более $50 млн.
В команде Radiant Capital заявили, что привлекли к расследованию атаки экспертов по кибербезопасности из компании Mandiant. Кроме того, к нему присоединились такие сервисы, как zeroShadow и Hypernative, а также сообщество SEAL 911.
Согласно отчету, взлом произошел посредством целенаправленной атаки на разработчика методом социальной инженерии. 11 сентября он получил сообщение якобы от бывшего доверенного подрядчика.
В нем был заархивированный PDF-файл с описанием нового проекта. Непосредственно сам подрядчик попросил предоставить отзыв о его работе, указано в отчете.
Также злоумышленники подделали домен сайта этого подрядчика. Благодаря этому файл не вызвал подозрений, признали в команде проекта. В архиве находилось вредоносное ПО INLETDRIFT.
Именно эта программа создала так называемый бэкдор. При этом стандартные меры выявления вредоносных файлов были неэффективны.
Эксперты Mandiant считают, что за атакой стоит группировка UNC4736, также известная как AppleJeus или Citrine Sleet. В компании указали на ее связь с властями Северной Кореи (КНДР).
В сообществе прокомментировали публикацию отчета. В частности, один из пользователей пожаловался на то, что он крайне «скуп» на подробности. В комментарии под его публикацией криптодетектив под псевдонимом ZachXBT отметил, что взломщик Radiant Capital, судя по его данным, торгует на длинных позициях на бирже деривативов Hyperliquid.
У него на балансе находится около $600 000, подчеркнул эксперт. При этом в отчете Radiant Capital говорится только об усилиях по заморозке украденных средств, но нет конкретики об уже достигнутых результатах в этом процессе.
Также примечательно то, что, по словам ZachXBT, ранее он не встречал информацию о торговле северокорейскими хакерами. Зачастую они отмывают и выводят активы после атак на проекты.