СЕВЕРНОКОРЕЈСКИ ХАКЕРИ КРАДАТ ПАРИ ОД КРИПТО СТАРТАПИ: Прво се претставуваа како лажни работници, а сега се лажни инвеститори
Групацијата Лазарус, тим од хакери поддржани од севернокорејската влада, украде повеќе од 3 милијарди долари од крипто стартапи од 2017 година. Сега користат нова изненадувачка тактика.
Групата Лазарус, позната по нападот со откупни софтвер WannaCry, сега користи нова тактика, тврди ФБИ. Откако веќе украдоа повеќе од 3 милијарди долари во претходните грабежи на крипто, хакерите сега се претставуваат како инвеститори на ризичен капитал (VC) за да добијат пристап до извршните директори на крипто компаниите и да инсталираат злонамерен код.
Хакерските групи поврзани со Северна Кореја претходно се претставуваа како регрутери или баратели на работа за да воспостават видео повици со вработени во крипто компании и да испуштаат заразени датотеки или код за време на тие состаноци. Овие методи им овозможиле да украдат повеќе од три милијарди долари од 2017 година. Сепак, претставувањето како инвеститори на ризичен капитал се чини дека е нова стратегија.
Го измамиле режисерот испраќајќи му сценарио.
ФБИ во известувањето за заплена поднесено до Окружниот суд на САД за округот Колумбија во ноември соопшти дека Лазар Груп наводно украла повеќе од 34 милиони долари во токени од една крипто стартап претставувајќи се како „добро познат“ фонд за VC во Хонг Конг. , која инвестира во криптовалути. Хакерите користеа лажна сметка на Telegram за да го контактираат извршниот директор на стартапот во ноември 2023 година. Лицето кое хакерите го имитираат не беше именувано во извештајот на ФБИ.
„За време на комуникацијата, извршниот директор кликна на врска за да се приклучи на видео конференција со лице кое се претставува како VC, но врската не функционираше. Измамникот потоа испратил на извршната власт сценарио за да го реши проблемот, што извршната власт ја иницирала“, рече специјалниот агент на ФБИ Џастин М. Валезе во судската пријава.
Скриптата инсталираше малициозен софтвер наречен CryptoMimic. Тој им даде на хакерите далечински пристап до еден од компјутерите на стартапот. На тој компјутер, хакерите наводно пронашле текстуална датотека со приватни клучеви за 5.000 адреси кои содржеле крипто токени вредни повеќе од 17 милиони долари. „Изгледа дека сторителите ја избришале оваа датотека од компјутерот на вработениот, а со тоа и го оневозможиле пристапот на компанијата“, додаде Валезе.
ФБИ следеше токени до берзата
ФБИ не го откри името на стартапот во своето поднесување. Тие изјавија дека еден од украдените токени во март 2024 година бил NFP. Тоа е токен лансиран од NFPrompt, крипто стартап поддржан од Binance кој се занимава со NFT генерирани од вештачка интелигенција. На 15 март, компанијата објави на Твитер дека „група хакери компромитирале неколку паричници. Вклучувајќи ги и оние на администраторите на договорите на NFP“, со илустрација на пингвин во палто со значка на шериф.
NFPrompt не одговори на барање за коментар. ФБИ одби да коментира.
ФБИ го поврза малициозниот софтвер CryptoMimic користен во нападот со сервери лоцирани во Северна Кореја. Тој ги следеше украдените токени на сметките на крипто централите Binance и MEXC. Сметките се замрзнати, а 3,2 милиони долари во криптовалути сега се под надзор на ФБИ.
Судскиот документ не открива како се изгубени преостанатите 17 милиони долари или што се случило со остатокот од украдените средства.
Социјален инженеринг
ФБИ издаде предупредување во септември дека Северна Кореја „агресивно ги таргетира“ крипто компаниите користејќи тактики за социјално инженерство. „Шемите за социјално инженерство на Северна Кореја се сложени и софистицирани. „Тие често ги компромитираат жртвите користејќи техничка експертиза“, предупреди ФБИ. Оние кои го надгледуваат спроведувањето на санкциите на Обединетите нации на почетокот на оваа година рекоа дека сајбер нападите меѓу 2017 и 2023 година фокусирани на крипто компании и донесоа на Северна Кореја повеќе од три милијарди долари, објави Гардијан.
Во минатото, севернокорејските хакери се претставуваа како регрутери или баратели на работа за да пристапат и да добијат знаење за целите. Форбс претходно овој месец објави дека групата Лазарус украла 16 милиони долари од крипто берзата Rain.com со седиште во Бахреин. Тие контактирале со персоналот на берзата преку LinkedIn. Понекогаш дури и севернокорејските програмери добиваат работа во компании кои користат лажни идентитети и VPN за да ја прикријат нивната локација.
Безбедносните истражувачи од Microsoft и Recorded Future минатата година предупредија дека севернокорејските хакери ги прилагодуваат своите тактики. Ова вклучува претставување како VC инвеститори и инвестициски банкари. Судското барање на ФБИ за враќање на токените украдени од NFPrompt е првиот регистриран случај на успешен напад со оваа тактика.
