Новые доказательства показали, что спонсируемые государством хакеры, связанные с Северной Кореей, стояли за множеством атак на криптовалютные биржи за последние три года.
Приписывая атаку со «средней или высокой» вероятностью Lazarus Group (также известной как APT38 или Hidden Cobra), исследователи из израильской фирмы по кибербезопасности ClearSky заявили, что кампания, получившая название » CryptoCore «, была нацелена на криптобиржи в Израиле, Японии, Европе и США. , что привело к краже виртуальных валют на миллионы долларов.
Полученные данные являются следствием объединения воедино артефактов из серии изолированных, но похожих отчетов, детализированных F-Secure , японским CERT JPCERT / CC и NTT Security за последние несколько месяцев.
С момента появления на сцене в 2009 году участники Hidden Cobra использовали свои наступательные кибер-возможности для осуществления шпионажа и кражи кибер-криптовалюты против предприятий и критически важной инфраструктуры. Атаки противника соответствуют экономическим и геополитическим интересам Северной Кореи, которые в первую очередь мотивированы финансовой выгодой как средством обхода международных санкций . В последние годы Lazarus Group еще больше расширила свои атаки, нацеленные на оборонную и аэрокосмическую промышленность.
CryptoCore, также называемый CryptoMimic, Dangerous Password , CageyChameleon и Leery Turtle , не отличается от других операций Lazarus Group тем, что в первую очередь ориентирован на кражу кошельков с криптовалютой.
Предполагается, что эта кампания началась в 2018 году, и ее принцип работы предполагает использование целевого фишинга в качестве маршрута вторжения для получения доступа к учетной записи диспетчера паролей жертвы, использования ее для хищения ключей кошелька и перевода валюты в кошелек, принадлежащий злоумышленнику.
Сообщается, что группа украла около 200 миллионов долларов, согласно отчету ClearSky, опубликованному в июне 2020 года, который связывает CryptoCore с пятью жертвами, расположенными в США, Японии и на Ближнем Востоке. Соединяя точки, последние исследования показывают, что операции были более распространены, чем задокументировано ранее, при одновременном развитии нескольких частей вектора атаки.
Сравнение индикаторов компрометации (IoC) из четырех публичных раскрытий не только обнаружило достаточное количество совпадений на уровне поведения и кода, но также повысило вероятность того, что каждый из отчетов затрагивает разные аспекты того, что кажется крупномасштабным. атака.
Кроме того, ClearSky заявила, что подтвердила атрибуцию, сравнив вредоносное ПО, развернутое в кампании CryptoCore, с другими кампаниями Lazarus и обнаружила сильное сходство.
«Эта группа успешно взламывает множество компаний и организаций по всему миру на протяжении многих лет», — заявили исследователи ClearSky. «До недавнего времени не было известно, что эта группа атакует израильские цели».