Hakeri iz Severne Koreje kradu novac od kripto startapa: Prvo su se javljali kao lažni radnici, a sada su lažni investitori
Grupa Lazarus, tim hakera koji imaju podršku severnokorejske vlade, ukrali su od 2017. više od tri milijarde dolara od kripto startapa. Sada koriste novu iznenađujuću taktiku.
Grupa Lazarus, poznata po WannaCry ransomware napadu, sada koristi novu taktiku, tvrdi FBI. Nakon što su već ukrali više od tri milijarde dolara u prethodnim kripto pljačkama, hakeri se sada predstavljaju kao investitori venture kapitala (VC) kako bi ostvarili pristup izvršnim direktorima kripto kompanija i instalirali zlonamerni kod.
Hakerske grupe povezane sa Severnom Korejom ranije su se predstavljale kao regruteri ili tražioci posla kako bi organizovali video pozive sa zaposlenima u kripto kompanijama i tokom tih susreta ubacivali zaražene fajlove ili kod. Ove metode su im omogućile da od 2017. ukradu više od tri milijarde dolara. Međutim, predstavljanje kao investitori venture kapitala izgleda da je nova strategija.
Prevarili direktora slanjem skripte
FBI je u prijavi za zaplenu, podnetoj Okružnom sudu SAD-a za Distrikt Kolumbija u novembru, naveo da je grupa Lazarus navodno ukrala više od 34 miliona dolara u tokenima od jednog kripto startapa tako što su se predstavili kao „poznati“ VC fond iz Hongkonga, koji ulaže u kriptovalute. Hakeri su koristili lažni Telegram nalog kako bi stupili u kontakt sa izvršnim direktorom startapa u novembru 2023. Osoba koju su hakeri imitirali nije imenovana u prijavi FBI.
„Tokom komunikacije, izvršni direktor je kliknuo na link kako bi se pridružio video konferenciji sa osobom koja se predstavljala kao VC, ali link nije radio. Prevarant je zatim poslao izvršnom direktoru skriptu da reši problem, koju je direktor pokrenuo“, izjavio je specijalni agent FBI Džastin M. Valese u sudskoj prijavi.
Skripta je instalirala zlonamerni softver nazvan CryptoMimic. On je hakerima omogućio daljinski pristup jednom od računara startapa. Na tom računaru, hakeri su navodno pronašli tekstualni fajl sa privatnim ključevima za 5.000 adresa koje su sadržale kripto tokene vredne više od 17 miliona dolara. „Izgleda da su počinioci obrisali ovaj fajl sa računara zaposlenog, čime su kompaniji onemogućili pristup“, dodao je Valese.
FBI pratio tokene do berze
FBI nije otkrio ime startapa u svojoj prijavi. Naveli su da je jedan od ukradenih tokena u martu 2024. bio NFP. To je token koji je lansirao NFPrompt, kripto startap podržan od Bajnensa, koji se bavi AI-generisanim NFT-ovima. Kompanija je 15. marta na Tviteru objavila da je „grupa hakera kompromitovala nekoliko novčanika. Uključujući one administratora NFP ugovora“, uz ilustraciju pingvina u mantilu sa značkom šerifa.
NFPrompt nije odgovorio na zahtev za komentar. FBI je odbio da komentariše.
FBI je povezao malver CryptoMimic korišćen u napadu sa serverima lociranim u Severnoj Koreji. Pratio je ukradene tokene do naloga na kripto berzama Bajnens i MEXC. Nalozi su zamrznuti, a sada je 3,2 miliona dolara u kriptovalutama pod nadzorom FBI.
Sudski dokument ne otkriva kako je preostalih 17 miliona dolara izgubljeno niti šta se desilo sa ostatkom ukradenih sredstava.
Socijalni inženjering
FBI je u septembru izdao upozorenje da Severna Koreja „agresivno cilja“ kripto kompanije koristeći taktike socijalnog inženjeringa. „Šeme socijalnog inženjeringa Severne Koreje su složene i sofisticirane. Često kompromituju žrtve koristeći tehničku ekspertizu“, upozorio je FBI. Oni koji prate primenu sankcija Ujedinjenih nacija izjavili su ranije ove godine da su sajber napadi između 2017. i 2023. fokusirani na kripto kompanije doneli Severnoj Koreji više od tri milijarde dolara, preneo je Gardijan.
U prošlosti su se severnokorejski hakeri predstavljali kao regruteri ili tražioci posla kako bi pristupili i stekli znanje o metama. Forbes je ranije ovog meseca izvestio da je grupa Lazarus ukrala 16 miliona dolara od kripto berze Rain.com sa sedištem u Bahreinu. Osoblje berze su kontaktirali preko Linkdina. Ponekad čak severnokorejski programeri dobiju posao u kompanijama koristeći lažne identitete i VPN-ove kako bi prikrili svoju lokaciju.
Istraživači bezbednosti iz Majkrosofta i Recorded Future upozorili su prošle godine da severnokorejski hakeri prilagođavaju svoje taktike. To uključuje predstavljanje kao VC investitori i investicioni bankari. Sudski zahtev FBI za povratak tokena ukradenih od NFPrompt je prvi zabeleženi slučaj uspešnog napada upotrebom ove taktike.
Ian Martin, novinar Forbes