Правительство США и ФБР отмечают, что растет число кибератак из КНДР, нацеленных на зарубежные организации, работающие в сфере технологии блокчейн и криптовалюты, включая криптовалютные биржи, протоколы децентрализованного финансирования (DeFi), криптовалютные видеоигры, в которых можно заработать, компании по торговле криптовалютой, венчурные фонды, инвестирующие в крипторынок.
Кроме этого, увеличилось количество нападений на отдельных держателей крупных сумм криптовалют или NFT. Злоумышленники используют приложения, чтобы получить доступ к компьютерам компаний, распространяя вредоносное ПО в сетевой среде, похищая закрытые ключи, используя другие бреши в безопасности.
Власти США и ФБР выявили спонсируемые северокорейским государством организованные группы злоумышленников, использующих тактику, аналогичную ранее выявленной группировке Lazarus.
Напомним, что Lazarus Group использует троянские криптовалютные приложения AppleJeus, нацеленные на отдельных лиц и компании, включая криптовалютные биржи и компании, предоставляющие финансовые услуги, путем распространения приложений для торговли криптовалютой, которые были модифицированы для включения вредоносного ПО, облегчающего кражу криптовалют.
В этом году участники северокорейской группы Lazarus Group нацелились на различные фирмы, организации и биржи, работающие в индустрии блокчейна и криптовалюты, используя целевой фишинг и вредоносное ПО для краж виртуальных активов.
В ФБР считают, что поддерживаемые властями КНДР группы киберпреступников, продолжат и дальше использовать уязвимости фирм, работающих в сфере блокчейна, игровых компаний и криптовалютых бирж для кражи средств. Они в свою очередь используются для финансирования режима Северной Кореи.
Аналитики ФБР указывают на то, что вторжения начинаются с большого количества фишинговых сообщений, отправляемых сотрудникам криптовалютных компаний — часто работающим в области системного администрирования или разработки программного обеспечения/ИТ-операций (DevOps) — на различных коммуникационных платформах. Сообщения предлагают высокооплачиваемую работу, чтобы побудить получателей загрузить криптовалютные приложения с вредоносным ПО, которые правительство США называет «TraderTraitor».
TraderTraitor — это серия вредоносных приложений, написанных с использованием кроссплатформенного кода JavaScript в среде выполнения Node.js с использованием фреймворка Electron. После их загрузки, хакеры получают нужный им доступ к ПО бирж и компаний.
В ФБР предполагают, что в этом году количество атак возрастет и они будут становиться все более изощренными. Компаниям, биржам, работающим в криптовалютной индустрии и частным лицам, придется вкладывать значительные средства в собственную защиту от нападений северокорейских хакерских группировок.
Автор: Вадим Груздев, аналитик Freedman Сlub Crypto News