Перенаправьте оригинальный заголовок «Парадигма: Раскрытие угрозы северокорейской хакерской группы Лазарус-группа»

Обсуждение группы Лазарус - виновника взлома Bybit - с точки зрения организационной структуры, методов атаки и стратегий защиты.

Одним февральским утром в чате группы SEAL 911 зажглись огни. Мы смотрели в недоумении, когда Bybit переместил более чем на $1 миллиард токенов из своего холодного кошелька на совершенно новый адрес, а затем быстро начал ликвидировать более $200 миллионов в LST. В течение нескольких минут, через общение с командой Bybit и независимый анализ (включая мультиподпись и ранее проверенную реализацию Safe Wallet, теперь замененную только что развернутым и непроверенным контрактом), мы подтвердили, что это было не рутинное обслуживание. Кто-то только что запустил один из крупнейших хакерских атак в истории криптовалют — и мы сидели в первом ряду.

Пока часть команды (вместе с более широким исследовательским сообществом) начала отслеживать средства и уведомлять партнерские биржи, другие пытались понять, что именно произошло, и находились ли под угрозой дополнительные средства. К счастью, определить злоумышленника было легко. За последние несколько лет только один известный актер угрозы успешно похитил миллиарды с криптобирж: КНДР, также известная как КНДР.

Однако за этим у нас было мало информации. Из-за хитрой природы и исключительных навыков замаскировки северокорейских хакеров определить источник нарушения - не говоря уже о том, какая конкретная команда в Северной Корее несла ответственность - было крайне сложно. Все, что у нас было, это существующая разведка, указывающая на то, что операторы из КНДР часто полагаются на тактику социальной инженерии для проникновения в криптовалютные биржи. Исходя из этого, мы предположили, что они скомпрометировали мультиподписные подписчики Bybit и развернули вредоносное ПО для вмешательства в процесс подписания.

Как оказалось, это предположение было полностью ошибочным. Через несколько дней мы обнаружили, что Северная Корея фактически скомпрометировала инфраструктуру самого Safe Wallet и развернула специально нацеленную на Bybit настраиваемую злонамеренную перегрузку. Сложность этой атаки превысила все ожидания и подготовку к ней, представляя серьезное испытание для многих существующих моделей безопасности на рынке.

Хакеры из Северной Кореи представляют все более серьезную угрозу нашей отрасли. Мы не можем победить врага, которого не понимаем. Хотя о северокорейских кибероперациях существует много документированных инцидентов и статей, их сложно все объединить. Надеюсь, что этот обзор поможет представить более четкую картину того, как действует Северная Корея, их стратегии и процедуры, и в конечном итоге поможет нам внедрить правильные меры по смягчению последствий.

Организационная структура

Одно из самых больших заблуждений, которые нужно разрешить, это как классифицировать и называть обширные киберактивности Северной Кореи. В то время как в разговорной речи можно использовать термин "Группа Лазарус" в качестве общего наименования, более точная терминология полезна при обсуждении системной киберугрозы, создаваемой Северной Кореей, подробно.

Во-первых, важно понимать "организационную структуру" Северной Кореи. На вершине находится правящая - и единственная - политическая партия, Рабочая партия Кореи (РПК), которая контролирует все государственные институты. Сюда входят Корейская Народная Армия (КНА) и Центральный комитет. В рамках КНА существует Главное оперативное управление (ГОУ), где находится Главное бюро разведки (ГБР). Под Центральным комитетом находится Департамент военной промышленности (ДВП).

RGB отвечает практически за все кибероперации в Северной Корее, включая практически все наблюдаемые действия в криптоиндустрии. Помимо известной группы Лазарь, другие угрозы, исходящие от RGB, включают AppleJeus, APT38, DangerousPassword и TraderTraitor. С другой стороны, МИД контролирует программу ядерных ракет Северной Кореи и является основным источником зарубежных ИТ-специалистов страны. Сообщество разведки идентифицирует этих актеров как Contagious Interview и Wagemole.

Группа Лазарь

Группа Лазарь - это высококвалифицированная хакерская организация. Специалисты в области кибербезопасности считают, что некоторые из самых крупных и разрушительных кибератак в истории были осуществлены этой группой. В 2016 году Novetta выявила группу Лазаря при анализе взлома Sony Pictures Entertainment.

В 2014 году Sony снимала боевик-комедию «Интервью», центральный сюжет которой заключался в унижении и последующем убийстве Ким Чен Ына. Понятно, что это не понравилось режиму Северной Кореи, который отомстил, взломав сеть Sony, похитив несколько терабайт данных, утекших сотни гигабайт конфиденциальной или чувствительной информации и удалив оригиналы. Тогдашний генеральный директор Майкл Линтон выразил это следующим образом: «Люди, сделавшие это, не просто украли все в доме — они сожгли дом». В итоге Sony потратила как минимум 15 миллионов долларов на расследование и ликвидацию последствий атаки, а фактический ущерб мог быть еще выше.

В 2016 году хакерская группа, поразительно похожая на Lazarus Group, проникла в банк Бангладеш в попытке украсть почти 1 миллиард долларов. В течение года хакеры проводили атаки социальной инженерии на сотрудников банка, в конечном итоге получая удаленный доступ и перемещаясь по сети, пока не добрались до компьютера, который взаимодействовал с системой SWIFT. После этого они ждали идеальной возможности: Бангладеш отмечает свои выходные в четверг, в то время как Федеральная резервная система Нью-Йорка берет выходной в пятницу. В четверг вечером по местному времени злоумышленники использовали свой доступ к SWIFT для отправки 36 отдельных запросов на перевод в ФРБ Нью-Йорка рано утром в пятницу по местному времени. В течение следующих 24 часов ФРС перенаправила переводы в Rizal Commercial Banking Corporation (RCBC) на Филиппинах, которая начала их обработку. К тому времени, когда Банк Бангладеш возобновил работу, он обнаружил утечку и попытался связаться с RCBC, чтобы остановить транзакции, но обнаружил, что банк закрыт на праздник Лунного Нового года.

Тогда, в 2017 году, широко распространившаяся атака вымогательским вредоносным ПО WannaCry 2.0 нанесла ущерб промышленности по всему миру, частично приписываемая группе Лазарус. Предполагается, что WannaCry привела к ущербу на миллиарды долларов, эксплуатируя уязвимость нулевого дня Microsoft Windows, изначально разработанную NSA. Она шифровала локальные машины и распространялась на доступные устройства, в конечном итоге заражая сотни тысяч систем по всему миру. К счастью, исследователь по безопасности Маркус Хатчинс обнаружил и активировал выключатель безопасности в течение восьми часов, ограничивая масштаб ущерба.

На протяжении своей истории группа Лазарус проявила выдающуюся техническую способность и оперативную эффективность. Одной из их основных целей является генерация дохода для режима КНДР. Было только вопрос времени, прежде чем они обратили свое внимание на криптовалютную индустрию.

Отделения Лазаря и развивающиеся угрозы

Со временем, когда группа Лазарус стала общим термином, часто используемым СМИ для описания киберактивностей Северной Кореи, кибербезопасностной отраслью начали разрабатывать более точные названия для группы Лазарус и конкретных операций, связанных с Северной Кореей. APT38 - один из таких примеров. Около 2016 года он отделился от группы Лазарус, чтобы сосредоточиться на финансовых преступлениях, изначально нацеливаясь на банки (такие как Бангладешский банк), а затем на криптовалюту. В 2018 году была обнаружена новая угроза, известная как AppleJeus, распространяющая вредоносные программы, нацеленные на пользователей криптовалюты. Также в 2018 году, когда OFAC впервые объявила о санкциях против двух фронтовых компаний, использованных северокорейцами, уже было ясно, что оперативники из Северной Кореи, выдававшие себя за ИТ-работников, проникли в технологическую отрасль.

Северокорейские ИТ-специалисты

Хотя самое раннее упоминание о северокорейских ИТ-специалистах относится к санкциям ОФАК 2018 года, в отчете Unit 42 2023 года был предоставлен более подробный отчет и выявлены два различных угрозовых актора: Contagious Interview и Wagemole.

Контагиозный интервью известен тем, что выдает себя за рекрутеров из известных компаний, чтобы заманить разработчиков в фиктивные процессы собеседования. Предполагаемые кандидаты получают указания клонировать репозиторий для локальной отладки—представленный как часть испытания на кодирование—но репозиторий содержит заднюю дверь. Выполнение кода дает хакерам контроль над зараженной машиной. Эта деятельность продолжается, с последним случаем, зафиксированным 11 августа 2024 года.

С другой стороны, Wagemole не заманивает жертв - их нанимают настоящие компании, сплавляясь как обычные инженеры, хотя часто менее продуктивные. Следует отметить, что существуют документированные случаи использования ИТ-сотрудниками своего доступа во вредные цели. В случае с инцидентом Munchables сотрудник, связанный с операциями северокорейцев, злоупотребил привилегированным доступом к смарт-контрактам и похитил все активы.

Уровень утонченности среди агентов Wagemole варьируется широко. Некоторые используют общие шаблоны резюме и отказываются от видеозвонков, в то время как другие представляют индивидуальные резюме, участвуют в глубоких фейковых видеоинтервью и предоставляют поддельные удостоверения личности, такие как водительские удостоверения и коммунальные счета. В некоторых случаях агенты оставались внутри организаций-жертв до года, прежде чем использовали свой доступ для проникновения в другие системы и/или полного изъятия наличных средств.

AppleJeus

AppleJeus в первую очередь ориентирован на распространение вредоносных программ и умел в проведении сложных атак на цепочку поставок. В 2023 году атака на цепочку поставок 3CX позволила злоумышленникам потенциально заразить более 12 миллионов пользователей программного обеспечения 3CX VoIP. Позже было обнаружено, что сам 3CX был затронут атакой на цепочку поставок у одного из его поставщиков — Trading Technologies 13.

В криптовалютной индустрии AppleJeus изначально распространял вредоносное ПО, замаскированное под легитимное программное обеспечение, такое как торговые платформы или криптовалютные кошельки. Однако со временем их тактика эволюционировала. В октябре 2024 года Radiant Capital был скомпрометирован угрозой, выдающей себя за доверенного подрядчика, который доставил вредоносное ПО через Telegram. Mandiant отнес эту атаку к AppleJeus.

Опасный пароль

Опасный Пароль отвечает за атаки низкой сложности социальной инженерии, нацеленные на криптовалютную индустрию. Еще в 2019 году JPCERT/CC документировал, что Опасный Пароль отправлял фишинговые электронные письма с привлекательными вложениями для загрузки. В последние годы Опасный Пароль выдавал себя за известных личностей в сфере криптовалюты, чтобы отправлять фишинговые электронные письма с темами вроде «Огромные риски в стейблкоинах и криптоактивах».

Сегодня опасный пароль продолжает отправлять фишинговые электронные письма, но расширил свою деятельность на другие платформы. Например, Radiant Capital сообщила о получении фишингового сообщения через Telegram от кого-то, выдающего себя за исследователя по безопасности. В сообщении был прикреплен файл с именем «Penpie_Hacking_Analysis_Report.zip». Кроме того, пользователи сообщали, что их контактировали лица, выдававшие себя за журналистов или инвесторов, которые просили назначить звонок с использованием неизвестных видеоконференц-приложений. Как и Zoom, эти приложения предлагают пользователям загрузить одноразовый установщик, однако после выполнения они устанавливают вредоносное ПО на устройство пользователя.

ТрейдерПредатель

TraderTraitor — самая изощренная северокорейская хакерская группа, нацеленная на криптовалютную индустрию и связанная с атаками на такие платформы, как Axie Infinity и Rain.com. TraderTraitor почти исключительно нацелен на биржи и компании с большими резервами и не использует уязвимости нулевого дня. Вместо этого он использует очень сложные методы целевого фишинга, чтобы скомпрометировать своих жертв. Во время взлома Axie Infinity TraderTraitor связался со старшим инженером через LinkedIn и успешно убедил его пройти серию собеседований, в конечном итоге отправив «предложение о работе», которое доставило полезную нагрузку вредоносного ПО. В ходе атаки на WazirX оперативники TraderTraitor скомпрометировали неизвестный компонент в конвейере подписания транзакций. Затем они опустошили горячий кошелек биржи, неоднократно внося и снимая средства, что побудило инженеров провести ребалансировку с холодного кошелька. Когда инженеры WazirX попытались подписать транзакцию для перевода средств, их обманом заставили авторизовать транзакцию, которая передала контроль над холодным кошельком TraderTraitor. Это очень похоже на атаку на Bybit в феврале 2025 года, когда TraderTraitor сначала скомпрометировал инфраструктуру Safe{Wallet} с помощью социальной инженерии, а затем развернул вредоносный JavaScript во фронтенде Safe Wallet, специально используемом холодным кошельком Bybit. Когда Bybit попыталась ребалансировать свой кошелек, сработал вредоносный код, в результате чего инженеры Bybit неосознанно подписали транзакцию, которая передала контроль над холодным кошельком TraderTraitor.

Безопасность

Северная Корея продемонстрировала способность использовать уязвимости нулевого дня против противников, но до сих пор не зафиксировано или неизвестно о случаях использования нулевых дней против криптовалютной индустрии. Поэтому стандартные рекомендации по безопасности применимы к практически всем угрозам, созданным хакерами из Северной Кореи.

Для отдельных лиц здравый смысл и бдительность против социальной инженерии играют ключевую роль. Например, если кто-то утверждает, что обладает высоко конфиденциальной информацией и предлагает поделиться ею с вами, действуйте осторожно. Или, если кто-то создает временное давление и настаивает на загрузке и запуске программного обеспечения, подумайте, пытаются ли они помешать вам мыслить рационально.

Для организаций применяйте принцип минимальных привилегий везде, где это возможно. Минимизируйте количество людей с доступом к чувствительным системам и убедитесь, что они используют менеджеры паролей и двухфакторную аутентификацию (2FA). Держите личные и рабочие устройства отдельно, устанавливайте инструменты управления мобильными устройствами (MDM) и инструменты обнаружения и реагирования на конечные точки (EDR) на рабочих машинах, чтобы поддерживать как предварительную безопасность, так и видимость после нарушения.

К сожалению, для крупных бирж или других целей высокой стоимости TraderTraitor все еще может причинить больший ущерб, чем ожидалось, даже не используя нулевые дни. Поэтому необходимо принять дополнительные меры предосторожности для ликвидации одиночных точек отказа, чтобы компрометация не привела к полной финансовой потере.

Все же, даже если все потерпит неудачу, есть надежда. У ФБР есть специальная группа, отслеживающая и предотвращающая инциденты северокорейцев и активно информирующая потенциальных жертв уже много лет. Недавно мне удалось помочь этой группе связаться с потенциальными целями из Северной Кореи. Так что, чтобы подготовиться к худшему, убедитесь, что у вас есть общедоступная контактная информация или установите крепкие отношения в экосистеме (например, SEAL 911), чтобы критические предупреждения могли достичь вас как можно быстрее через социальный граф.

Отказ от ответственности:

1. Эта статья взята из [ХакерForesightNews]. Пересылайте оригинальный заголовок ‘Paradigm: Unveiling the Threat of the North Korean Hacker Group Lazarus Group’. Все авторские права принадлежат оригинальному автору [samczsun, Партнер по исследованиям в Paradigm]. Если есть возражения по поводу этого переиздания, пожалуйста, свяжитесь сGate Learnкоманда, и они незамедлительно разберутся с этим в соответствии с соответствующими процедурами.

2. Отказ от ответственности: Взгляды и мнения, выраженные в этой статье, представляют только личные взгляды автора и не являются инвестиционными советами.

3. Переводы статьи на другие языки выполняются командой Gate Learn. Без упоминанияGate.io, запрещается копировать, распространять или плагиатировать переведенные версии.