Больше, чем Lazarus Group: другие хакерские операции Северной Кореи под названием Paradigm

В феврале северокорейские хакеры сорвали куш, совершив крупнейший взлом в истории криптовалют.

Группа Lazarus Group похитила с биржи Bybit не менее 1,4 миллиарда долларов, а затем направила эти средства в криптобиржи.

«Кто-то провернул крупнейший взлом в истории [криптовалют], и мы были в первом ряду», - вспоминает в своем блоге Самчун, партнер по исследованиям компании Paradigm.

По словам исследователя, они стали свидетелями кражи в режиме реального времени и сотрудничали с Bybit, чтобы подтвердить факт несанкционированного доступа.

Цены на монеты падают в пятницу после подтверждения того, что крупная централизованная криптовалютная биржа Bybit была взломана после кражи токенов на сумму 1,4 миллиарда долларов в результате взлома.

В пятницу с горячего кошелька Bybit было выведено Ethereum (ETH) и stETH на сумму более 1,4 миллиарда долларов, и большая часть средств была продана через децентрализованные биржи.

Генеральный директор Bybit, соучредитель компании, Бен Чжоу подтвердил факт атаки в сообщении на сайте X (бывший Twitter), заявив, что запланированный перевод был каким-то образом манипулирован и...

Самчун работал с SEAL 911, подразделением экстренного реагирования, связанным с Security Alliance, некоммерческой организацией, занимающейся защитой децентрализованных систем.

Но эти атаки связаны не только с Lazarus Group. В кибернаступлениях Северной Кореи есть нечто большее, чем считалось ранее.

Существует неправильное представление о том, как «классифицировать и называть» операции группы.

Хотя термин «Lazarus Group» является «разговорно приемлемым», обсуждение того, как КНДР (Демократическая Корейская Народная Республика) проводит свои кибер-операции в наступательном режиме, необходимо более жестко, утверждает Самчсун.

Lazarus Group стала предпочтительным термином в СМИ при описании киберактивности КНДР. Исследователи кибербезопасности «создали более точные обозначения», чтобы показать, кто из них работает над конкретными видами деятельности, добавили они.

Исследователь компании Paradigm Самчсун составил карту сложных киберопераций Северной Кореи, выделив несколько групп угроз и векторов атак.

В новой атаке северокорейская группа Lazarus была связана с шестью новыми вредоносными пакетами npm.

Обнаруженная The Socket Research Team, последняя атака пытается установить бэкдоры для кражи учетных данных.

Lazarus - это печально известная северокорейская хакерская группа, которая связана с недавним взломом Bybit на $1,4 млрд, взломом криптоказино Stake на $41 млн, взломом криптобиржи CoinEx на $27 млн и многими другими случаями в криптоиндустрии.

Группу также первоначально связывали со взломом криптовалютной биржи CoinEx на сумму 235 миллионов долларов...

Хакерская экосистема КНДР работает под руководством Главного разведывательного бюро (RGB), в котором действуют несколько отдельных групп: AppleJeus, APT38, DangerousPassword и TraderTraito

Эти группы действуют на основе конкретных методик и технических возможностей.

TraderTraitor, признанный наиболее изощренным агентом КНДР, нацеленным на криптоиндустрию, фокусируется на биржах с большими резервами и использует передовые методы, успешно компрометируя Axie Infinity через поддельные предложения работы и манипулируяWazirX.

Базирующаяся в Дубае централизованная биржа Bybit не теряет времени даром, пытаясь помешать хакерам, похитившим на прошлой неделе Ethereum и связанные с ним токены на сумму $1,4 млрд. В выходные она предложила вознаграждение в размере до $140 млн тем, кто поможет отследить или заморозить средства.  

Во вторник биржа сделала еще один шаг вперед, запустив панель вознаграждений и веб-сайт, позволяющий пользователям отправлять версии о похищенных средствах и отслеживать «хороших» и „плохих“ участников индустрии в процессе. 

"В...

AppleJeus специализируется на сложных атаках на цепочки поставок, в том числе на взломе 3CX в 2023 году, от которого потенциально пострадали 12 миллионов пользователей.

Dangerous Password, в свою очередь, занимается социальной инженерией низшего уровня, используя фишинговые письма и вредоносные сообщения на платформах вроде Telegram.

Другая подгруппа, APT38, выделилась из Lazarus в 2016 году и сосредоточилась на финансовых преступлениях. Сначала она атаковала традиционные банки, а затем переключила внимание на криптовалютные платформы.

В 2018 году OFAC впервые упомянул «северокорейских ИТ-работников», которые в 2023 году были идентифицированы исследователями как «Contagious Interview» и «Wagemole», действующие по схемам, в которых участники угроз либо выдают себя за рекрутеров, либо пытаются наняться на работу в целевые компании.

Хотя КНДР продемонстрировала свою способность к развертыванию атак нулевого дня, «не было зафиксировано ни одного известного случая», чтобы она развернула их непосредственно против криптоиндустрии, сказал Самчсун.

Исследователь призвал криптовалютные компании внедрить базовые методы безопасности suнапример, доступ с наименьшими привилегиями, двухфакторная аутентификация и разделение устройств. Если превентивные меры не помогают, полезными будут и контакты с такими группами безопасности, как SEAL 911 и подразделение ФБР по КНДР.

«Хакеры из КНДР - это постоянно растущая угроза для нашей индустрии, и мы не сможем победить врага, которого не знаем и не понимаем», - пишет Самчун.

Отредактировано Себастьяном Синклером