Як північнокорейські хакери використовували LinkedIn і соціальну інженерію, щоб викрасти 3,4 мільярда доларів у криптовалюті?

Автор: Ерік Йоханссон і Тайлер Пірсон, DL News

Упорядник: Фелікс, PANews

Північнокорейські хакери вкрали щонайменше 3,4 мільярда доларів у криптовалюті, частково через атаки на LinkedIn.

Цифра в 3,4 мільярда доларів — це загальна сума хакерських атак, пов’язаних із північнокорейською групою Lazarus Group з 2007 року, включно з атакою 2022 року на Horizon, міжланцюжковим мостом активів між Ethereum і Harmony, зі збитками приблизно в 100 мільйонів доларів. Крадіжка гаманця Atomic у 2023 році на суму понад 35 мільйонів доларів і атака програми-вимагача WannaCry у 2017 році.

«Group Lazarus була основним джерелом доходу для режиму Північної Кореї», — сказав Х’ю Брукс, директор із операцій безпеки блокчейн-компанії CertiK.

Що може бути менш відомим, так це те, як хакери використовують платформи вербування, такі як LinkedIn, для проведення соціальної інженерії* (Примітка: соціальна інженерія відноситься до типу вторгнення, яке не є суто комп’ютерною технологією. Воно здебільшого покладається на взаємодію та спілкування між людьми, і зазвичай Включає та використовує введення в оману інших, щоб підірвати звичайні процеси безпеки для досягнення цілей зловмисника, які можуть включати отримання конкретної інформації, яка потрібна зловмиснику)* та фішингові атаки.

Яскравим прикладом є «Операція «Ін(тер)цепція», розпочата кіберзлочинними угрупованнями у 2019 році.

За даними компанії з кібербезпеки ESET, Lazarus Group націлена на військові та аерокосмічні компанії в Європі та на Близькому Сході, розміщуючи оголошення про роботу в LinkedIn та інших платформах, щоб ввести в оману шукачів роботи, вимагаючи від шукачів завантажувати PDF-файли з вбудованими виконуваними файлами.

Як атаки соціальної інженерії, так і фішингові атаки намагаються використати психологічну маніпуляцію, щоб обманом змусити жертв знизити пильність і вчинити загрозу безпеці, наприклад натиснути посилання або завантажити файл. Їх шкідливе програмне забезпечення дозволяє хакерам виявляти вразливості в системах жертв і викрадати конфіденційну інформацію.

Lazarus Group використовувала подібні методи під час шестимісячної операції проти постачальника криптовалютних платежів CoinsPaid, яка призвела до крадіжки 37 мільйонів доларів 22 липня цього року.

CoinsPaid повідомила, що в березні цього року інженери CoinsPaid отримали список запитань щодо технічної інфраструктури від так званого «українського стартапу з обробки крипто». У червні та липні інженери отримували неправдиві пропозиції про роботу. 22 липня співробітник подумав, що бере співбесіду на прибуткову роботу, і завантажив шкідливе програмне забезпечення в рамках так званого технічного тесту.

Раніше група хакерів витратила 6 місяців на вивчення CoinsPaid, включаючи всі можливі деталі, такі як члени команди та структура компанії. Коли співробітник завантажив шкідливий код, хакер отримав доступ до систем CoinsPaid, а потім використав уразливість програмного забезпечення, щоб успішно підробити запити на авторизацію та вивести кошти з гарячого гаманця CoinsPaid.

Під час атаки хакери запускали такі технічні атаки, як розподілена відмова в обслуговуванні* (Примітка. Розподілена атака на відмову в обслуговуванні називається DDoS. Ця форма мережевої атаки намагається заповнити веб-сайт або мережеві ресурси зловмисним трафіком, спричиняючи веб-сайт або мережеві ресурси стають непрацездатними. Нормальна робота. Під час розподіленої атаки типу «відмова в обслуговуванні» (DDoS) зловмисник надсилає величезні обсяги Інтернет-трафіку, який насправді не потрібен, виснажуючи ресурси цілі та спричиняючи те, що звичайний трафік не досягає свого призначення. призначення)*, а також тип атаки, відомий як стратегія грубої сили: надсилайте свій пароль кілька разів у надії, що зрештою вгадаєте його правильно.

Група також відома тим, що використовує атаки нульового дня* (Примітка: уразливості нульового дня або вразливості нулевого дня зазвичай стосуються вразливостей системи безпеки, які ще не виправлені, тоді як атаки нульового дня або нульового дня стосуються атак, які використовують Такі вразливості. Надайте це Деталі вразливості або особа, яка використовує програму, як правило, відкривають уразливість. Програма використання вразливостей нульового дня становить величезну загрозу безпеці мережі. Тому вразливості нульового дня не тільки фаворитом хакерів, але також кількість освоєних уразливостей нульового дня стала фактором для оцінки технічного рівня хакерів.важливий параметр)* і розгортання шкідливого програмного забезпечення для викрадення коштів, шпигунства та загального саботажу.

У 2019 році Міністерство фінансів США наклало санкції на Lazarus Group, офіційно пов’язавши її зі шпигунами з розвідувальної служби Північної Кореї. Міністерство фінансів США також вважає, що група фінансує ядерні програми терористичних держав.

Пов’язане читання: «Північнокорейський хакер» бере інтерв’ю у інженера блокчейну: «Світ побачить чудові результати в моїх руках»