Planowano atak na deweloperów kryptowalut w USA! Wiemy już, kto za nim stoi
Północnokoreańscy cyberprzestępcy utworzyli w Stanach Zjednoczonych dwie fikcyjne firmy, aby infekować oprogramowanie używane przez deweloperów z branży kryptowalut, naruszając tym samym sankcje amerykańskiego Departamentu Skarbu.
Firmy Blocknovas LLC i Softglide LLC zostały założone w Nowym Meksyku i Nowym Jorku z użyciem fałszywych danych osobowych i adresów – informują eksperci Silent Push, amerykańskiej firmy zajmującej się cyberbezpieczeństwem. Trzeci podmiot, Angeloper Agency, również powiązany z kampanią, nie został formalnie zarejestrowany w USA.
Ślady wskazują na Lazarusa
– To jeden z rzadkich przypadków, w których północnokoreańskim hakerom udało się założyć legalne podmioty w USA, aby wykorzystać je jako przykrywkę do ataków na kandydatów do pracy – powiedziała Kasey Best, dyrektorka ds. wywiadu o zagrożeniach w Silent Push.
Atakujący należą do podgrupy w ramach znanej jednostki hakerskiej Lazarus Group, powiązanej z Biurem Rozpoznania Generalnego – główną agencją wywiadowczą Korei Północnej.
FBI odmówiło komentarza w sprawie firm Blocknovas i Softglide. Jednak na stronie internetowej Blocknovas pojawiło się ogłoszenie FBI o zajęciu domeny. Śledczy poinformowali, że domena została przejęta w ramach akcji przeciwko północnokoreańskim cyberprzestępcom, którzy podszywali się pod pracodawców i rozsyłali złośliwe oprogramowanie.
Przed zajęciem domeny przedstawiciele FBI powiedzieli Reutersowi, że Biuro w dalszym ciągu „koncentruje się na nakładaniu konsekwencji nie tylko na sprawców z Korei Północnej, ale również na każdego, kto ułatwia ich działania”. Jeden z urzędników FBI określił północnokoreańskie operacje cybernetyczne jako „jedno z najbardziej zaawansowanych zagrożeń” dla bezpieczeństwa USA.
Misja Korei Północnej przy ONZ w Nowym Jorku nie odpowiedziała na prośby o komentarz.
Według Best, ataki wykorzystują fałszywe oferty pracy, które prowadzą do instalowania zaawansowanego złośliwego oprogramowania kradnącego portfele kryptowalutowe deweloperów oraz ich dane dostępowe, które mogą być wykorzystane w kolejnych cyberatakach na legalne firmy.
Silent Push zidentyfikował wiele ofiar tej kampanii, w szczególności w związku z działalnością Blocknovas, który okazał się najbardziej aktywnym z trzech podmiotów.
Tymczasem dziennikarze agencji Reuters przeanalizowali dokumenty rejestracyjne Blocknovas i Softglide. Zawierały one fałszywe dane – na przykład adres Blocknovas w Warrenville w Karolinie Południowej wskazuje według Google Maps na pusty teren. Softglide została zarejestrowana przez niewielkie biuro podatkowe w Buffalo w stanie Nowy Jork.
Aktywność ta wpisuje się w długoterminowe działania Korei Północnej mające na celu pozyskiwanie środków finansowych na rzecz reżimu w Pjongjangu. Oprócz ataków hakerskich Korea Północna wysyła tysiące informatyków za granicę, by generowali milionowe przychody wspierające program nuklearny tego państwa.
Korea kombinuje jak może
Rejestracja północnokoreańskich firm w Stanach Zjednoczonych stanowi naruszenie sankcji nałożonych przez Office of Foreign Assets Control (OFAC) oraz rezolucji ONZ zakazujących komercyjnej działalności Pjongjangu.
Departament Stanu Nowy Jork odmówił komentarza na temat firm zarejestrowanych w tym stanie. Z kolei biuro sekretarza stanu Nowego Meksyku przekazało, że rejestracja Blocknovas przebiegła zgodnie z przepisami i urząd nie miał możliwości wykrycia jej północnokoreańskich powiązań.
Zgodnie z ustaleniami Silent Push, cyberprzestępcy używali znanych rodzajów malware’u, wcześniej przypisywanych operacjom północnokoreańskim. Złośliwe oprogramowanie umożliwiało kradzież danych, uzyskiwanie dostępu do sieci oraz instalowanie dodatkowych wirusów.