PE SCURT
Hackerii din Coreea de Nord ar fi furat criptomonede în valoare de 7 milioane de dolari de la clienții de pe platforma de tranzacționare DragonEx din Singapore. Potrivit experților, în timpul operațiunii aceștia au folosit conturi false de pe Telegram și LinkedIn.
Potrivit Forbes, hackerii din Coreea de Nord folosesc conturi false de pe LinkedIn și Telegram pentru a fura datele de la deținătorii de criptomonede care utilizează sistemul de operare macOS, avertizează specialiștii în crypto de la agenția Chainalysis.
Raportul agenției a dezvăluit informații necunoscute anterior despre atacurile asupra platformelor de schimb valutar crypto din partea Grupului Lazarus. Acest grup de hackeri, potrivit autorităților americane și a mai mulți experți în domeniu, este finanțat de Coreea de Nord. Grupul ar fi responsabil de spargerea bazei de date Sony Pictures în 2014 și răspândirea virusului ransomware WannaCry în 2017.
PE LUNG
În martie 2019, hackerii au făcut atacuri sistematice asupra platformei DragonEx din Singapore, care a determinat pierderea a 7 milioane de dolari, a relatat pentru Forbes un specialist din Chainalysis sub acoperirea anonimatului. Atacatorii au început prin a crea o companie fictivă numită WFCWallet, elaborând și un site web solid. Pe LinkedIn au fost înregistrate profiluri ale presupusilor angajați ai acestei companii.
Utilizatorilor li se propunea să descarce un software, care era de fapt o versiune infectată a adevăratei platforme pentru tranzacțiile cu criptomonede. După descărcare, programul deschidea pe Mac-ul infectat o cale de ocolire, cu ajutorul căruia hackerii puteau fura cheile conturilor utilizatorilor de pe platformele de schimb valutar crypto. În plus, virusul urmărea și înregistra toate acțiunile utilizatorilor de pe tastatură și alte dispozitive de intrare. În acest mod, furtul datelor personale, cum ar fi parolele pentru hackeri, a devenit și mai ușor
După ce au creat compania falsă, hackerii au contactat o angajată de rang înalt de la DragonEx prin intermediul messengerului Telegram. Aceasta a fost întrebată dacă platforma nu dorește să coopereze cu WFCWallet și i-a propus să testeze software-ul virusat. În pofida faptului că angajata a fost inițial sceptică în legătură cu potențialul parteneriat, hackerii au fost insistenți timp de câteva săptămâni.
Apoi, din anumite motive, un angajat DragonEx totuși a descărcat programul hacker pe Mac-ul său. Din coincidență, datele cheilor personale ale conturilor clienților erau stocate pe acest dispozitiv. Conform sursei din Chainalysis, aceasta a fost o greșeală serioasă din partea DragonEx. În fine, după atac, compania și-a anunțat intenția de a îmbunătăți sistemul de securitate.
De pe Mac-ul virusat au fost furate ulterior informațiile despre o varietate de conturi crypto cu Bitcoin Cash, Ripple, Litecoin. Pentru a-și acoperi urmele, hackerii au transferat fondurile furate printr-un lanț de alte portofele.
Primele cazuri de utilizare a companiilor interpuse de către Coreea de Nord au fost observată încă în 2018, iar apoi pe parcursul următoarelor luni. Cu toate acestea, spargerea platformei DragonEx a arătat cât de eficientă ar putea fi o astfel de schemă.
DragonEx s-a adresat la Chainalysis pentru a investiga atacul. Agenția constată că WFCWallet a fost una dintre cele mai gândite campanii de spargere cu care s-au întâlnit experții. Ciberataca a fost realizată „la un nivel calitativ nou de complexitate”, a spus compania.
„Ancheta a ajutat la determinarea intervalelor de timp și a resurselor de care dispun hackerii de la Lazarus. De asemenea, a dezvăluit cunoștințele lor profunde despre sistemul de criptomonede, necesar pentru simularea cu succes a participanților reali pe piață ”, a spus Chainalysis. DragonEx nu a răspuns la cererile de comentarii.
În această lună, experții Kaspersky Lab au anunțat că acum hackerii Grupului Lazarus mizează nu numai pe descărcarea virusului de pe site-uri, dar au învățat și cum să infecteze dispozitivele direct prin Telegram.
Mai multe spargeri, mai puțini bani furați
Raportul Chainalysis arată, de asemenea, că în 2019 au existat mai multe spargeri ale platformelor de schimb valutar crypto decât în orice altă perioadă.
Potrivit companiei, hackerii de anul trecut au realizat 11 atacuri cibernetice de amploare și au furat 283 milioane de dolari de la utilizatori. Pe de altă parte, în 2019, suma furată s-a redus. De exemplu, în 2018, doar de pe platforma Coincheck au fost furate 534 de milioane de dolari.
Hackerii din Coreea de Nord fură banii utilizatorilor în primul rând pentru a finanța producția de arme de către stat. Când au fost anunțate sancțiunile împotriva hackerilor din Coreea de Nord anul trecut, Ministerul Finanțelor din SUA a menționat că Lazarus este gruparea principală „care comite atacuri cibernetice pentru a sprijini producția ilegală de arme și lansarea de rachete”. Potrivit autorităților americane, Lazarus a fost format de guvernul nord-coreean în 2007 ca unitate structurală a Biroului General de Informații.
Chainalysis a precizat că, în pofida predilecției grupării pentru bani virtuali, 50% din toate fondurile furate în 2019 nu au fost implicate în niciun fel de tranzacții și au rămas în contul principal al hackerilor.
Întrucât Chainalysis a încheiat mai multe contracte cu agențiile guvernamentale din SUA (în principal un acord cu FBI pentru urmărirea tranzacțiilor de criptovalută), este probabil ca atunci când autoritățile din Coreea de Nord vor încerca să acceseze banii furați, guvernul american va afla despre aceasta.