Hakeri iz Sjeverne Koreje sada se predstavljaju kao investitori i kradu novac od startapa

Forbes 19. dec 2024. 07:00

Foto: Shutterstock

19. dec 2024. 07:00

Grupa Lazarus, tim hakera koji imaju podršku sjevernokorejske vlade, ukrali su od 2017. više od tri milijarde dolara od kripto startapa. Sada koriste novu iznenađujuću taktiku.

Grupa Lazarus, poznata po WannaCry ransomware napadu, sada koristi novu taktiku, tvrdi FBI. Nakon što su već ukrali više od tri milijarde dolara u prethodnim kripto pljačkama, hakeri se sada predstavljaju kao investitori venture kapitala (VC) kako bi ostvarili pristup izvršnim direktorima kripto kompanija i instalirali zlonamjerni kod.

Hakerske grupe povezane sa Sjevernom Korejom ranije su se predstavljale kao regruteri ili tražioci posla kako bi organizovali video pozive sa zaposlenima u kripto kompanijama i tokom tih susreta ubacivali zaražene fajlove ili kod. Ove metode su im omogućile da od 2017. ukradu više od tri milijarde dolara. Međutim, predstavljanje kao investitori venture kapitala izgleda da je nova strategija.

Prevarili direktora slanjem skripte

FBI je u prijavi za zapljenu, podnijetoj Okružnom sudu SAD-a za Distrikt Kolumbija u novembru, naveo da je grupa Lazarus navodno ukrala više od 34 miliona dolara u tokenima od jednog kripto startapa tako što su se predstavili kao „poznati“ VC fond iz Hongkonga, koji ulaže u kriptovalute. Hakeri su koristili lažni Telegram nalog kako bi stupili u kontakt sa izvršnim direktorom startapa u novembru 2023. Osoba koju su hakeri imitirali nije imenovana u prijavi FBI.

„Tokom komunikacije, izvršni direktor je kliknuo na link kako bi se pridružio video konferenciji sa osobom koja se predstavljala kao VC, ali link nije radio. Prevarant je zatim poslao izvršnom direktoru skriptu da riješi problem, koju je direktor pokrenuo“, izjavio je specijalni agent FBI Džastin M. Valese (Justin M. Vallese) u sudskoj prijavi.

Skripta je instalirala zlonamjerni softver nazvan CryptoMimic. On je hakerima omogućio daljinski pristup jednom od računara startapa. Na tom računaru, hakeri su navodno pronašli tekstualni fajl sa privatnim ključevima za 5.000 adresa koje su sadržale kripto tokene vrijedne više od 17 miliona dolara. „Izgleda da su počinioci obrisali ovaj fajl sa računara zaposlenog, čime su kompaniji onemogućili pristup“, dodao je Valese.

FBI pratio tokene do berze

FBI nije otkrio ime startapa u svojoj prijavi. Naveli su da je jedan od ukradenih tokena u martu 2024. bio NFP. To je token koji je lansirao NFPrompt, kripto startap podržan od Bajnensa (Binance), koji se bavi AI-generisanim NFT-ovima. Kompanija je 15. marta na X-u objavila da je „grupa hakera kompromitovala nekoliko novčanika. Uključujući one administratora NFP ugovora“, uz ilustraciju pingvina u mantilu sa značkom šerifa.

NFPrompt nije odgovorio na zahtjev za komentar. FBI je odbio da komentariše.

FBI je povezao malver CryptoMimic korišćen u napadu sa serverima lociranim u Sjevernoj Koreji. Pratio je ukradene tokene do naloga na kripto berzama Bajnens i MEXC. Nalozi su zamrznuti, a sada je 3,2 miliona dolara u kriptovalutama pod nadzorom FBI.

Sudski dokument ne otkriva kako je preostalih 17 miliona dolara izgubljeno niti šta se desilo sa ostatkom ukradenih sredstava.

IT radnici iz Sjeverne Koreje prevarili stotine američkih kompanija

Forbes

Sjevernokorejci preplavljuju konkurse američkih kompanija prijavama za posao

Forbes

Socijalni inženjering

FBI je u septembru izdao upozorenje da Sjeverna Koreja „agresivno cilja“ kripto kompanije koristeći taktike socijalnog inženjeringa. „Šeme socijalnog inženjeringa Sjeverne Koreje su složene i sofisticirane. Često kompromituju žrtve koristeći tehničku ekspertizu“, upozorio je FBI. Oni koji prate primjenu sankcija Ujedinjenih nacija izjavili su ranije ove godine da su sajber napadi između 2017. i 2023. fokusirani na kripto kompanije donijeli Sjevernoj Koreji više od tri milijarde dolara, prenio je Guardian.

U prošlosti su se sjevernokorejski hakeri predstavljali kao regruteri ili tražioci posla kako bi pristupili i stekli znanje o metama. Forbes je ranije ovog mjeseca izvijestio da je grupa Lazarus ukrala 16 miliona dolara od kripto berze Rain.com sa sjedištem u Bahreinu. Osoblje berze su kontaktirali preko Linkedina. Ponekad čak sjevernokorejski programeri dobiju posao u kompanijama koristeći lažne identitete i VPN-ove kako bi prikrili svoju lokaciju.

Istraživači bezbjednosti iz Majkrosofta (Microsoft) i Recorded Future upozorili su prošle godine da sjevernokorejski hakeri prilagođavaju svoje taktike. To uključuje predstavljanje kao VC investitori i investicioni bankari. Sudski zahtjev FBI za povratak tokena ukradenih od NFPrompt je prvi zabilježeni slučaj uspješnog napada upotrebom ove taktike.

Iain Martin, Forbes

North Korean Hackers Posed As VCs To Steal $34 Million From Crypto Startup, FBI Says

tagovi