Хакерская группа BlueNorOff атакует криптовалютные компании. В этой статье делимся всем, что вам нужно знать о хакерской кампании SnatchCrypto в Северной Корее.
Точно так же, как с годами развивались технологии, также и развивалась киберпреступность. Некоторые из самых успешных киберпреступников сегодня родом из Корейской Народно-Демократической Республики (КНДР), тоталитарного государства, которым правит диктатор Ким Чен Ын.
В январе 2022 года исследователи обнаружили, что известная северокорейская хакерская группа нацелилась на криптовалютные стартапы в нескольких странах и при этом похитила миллионы долларов.
Что такое SnatchCrypto?
Эта серия атак на криптостартапы, получившая название SnatchCrypto. Она была обнаружена исследователями российской компании по кибербезопасности Kaspersky .
Сообщается, что кампания проводится BlueNorOff, подразделением, которое является частью печально известной северокорейской киберпреступной группы Lazarus Group, также известной как Guardians of Peace или Whois Team.
Для выполнения своих атак BlueNorOff (также известный как APT38, Stardust Chollima, BeagleBoyz и NICKEL GLADSTONE) использует сложные методы социальной инженерии и выдает себя за должностные лица, обманом заставляя свои цели загружать вредоносные файлы.
Например, группа может поделиться документом через Google Диск. Файл может выглядеть совершенно нормальным и иметь имя, например «Стратегия цифровых инвестиций».
Группа также может взломать другую компанию и отправить электронное письмо с адреса, принадлежащего этой компании, своей цели. В одном примере хакеры взломали зарегистрированную компанию и захватили ее учетные записи в социальных сетях. Используя эти профили, они рассылали своим целям якобы деловые предложения в виде вредоносных документов.
BlueNorOff не всегда компрометирует другую компанию для атаки на свои цели. На самом деле, чаще всего он просто выдает себя за бизнес, а затем распространяет вредоносные файлы.
По словам Касперского, эти атаки, как правило, работают потому, что стартапы на основе блокчейна часто получают письма, контракты, предложения и аналогичные файлы, связанные с бизнесом, из незнакомых источников.
Сами документы кажутся, а иногда даже являются легитимными. Если бы жертва открыла их без подключения к Интернету, они даже не были бы заражены вредоносным ПО.
Однако, если цель подключена к Интернету и открывает файл, распространяемый BlueNorOff, на компьютер цели загружается другой документ с поддержкой макросов, и таким образом развертывается вредоносное ПО.
Как только они проникают в цель, хакеры следят за ее действиями в течение нескольких недель или даже месяцев. И когда цель собирается совершить крупную крипто-транзакцию, хакеры получают уведомление, что позволяет им перехватить указанную транзакцию и, по сути, опустошить криптокошелек цели.
Почему BlueNorOff ориентируется на криптостартапы?
Практически невозможно отследить криптовалютные транзакции, поэтому неудивительно, что хакерские группы, такие как BlueNorOff, нацелились на компании, занимающиеся криптовалютой.
Согласно отчету аналитической компании по блокчейну Chainalysis , только в 2021 году Lazarus Group извлекла цифровые активы из компаний по всему миру на сумму около 400 миллионов долларов. Украденные средства были аккуратно переведены на счета, контролируемые Северной Кореей, а затем отмыты правительством.
Считается, что режим Ким Чен Ына, находящийся под жесткими санкциями западных правительств, использовал эти средства для своих программ создания ядерного оружия и баллистических ракет.
По данным Chainalysis, правительство Северной Кореи «массово поддерживает преступность с использованием криптовалюты», что делает ее серьезной угрозой для криптоиндустрии в целом.
Защита от BlueNorOff
Согласно «Лаборатории Касперского», чтобы защитить себя от BlueNorOff и подобных хакерских групп, организации должны в первую очередь обучать своих сотрудников методам социальной инженерии и фишинговых атак, а также проводить всестороннее обучение кибербезопасности.
Организации также должны регулярно проводить проверки кибербезопасности и вкладывать средства в надежную защиту для раннего выявления атак и предотвращения краж.
В целом, каждая компания должна уделять пристальное внимание своей гигиене кибербезопасности, регулярно обновлять все свое программное обеспечение и инвестировать в надежные решения для резервного копирования данных.
Перевод статьи: «SnatchCrypto: Why Are North Korean Hackers Targeting Crypto Startups?»