Mandiant, компания за киберсигурност, която наскоро беше придобита от Google, публикува доклад, в който подробно се описват някои от кибероперациите на Северна Корея и как страната използва хакери, за да набира пари чрез кражба на крипто активи.
Северна Корея използва хакери, за да финансира някои държавни операции чрез „кражби на криптовалути“, според доклад на фирмата за киберсигурност Mandiant.
„Смята се, че шпионските операции на страната отразяват непосредствените опасения и приоритети на режима, който вероятно в момента е съсредоточен върху придобиването на финансови ресурси чрез криптокражби, насочване към медии, новини и политически субекти, информация за външните отношения и ядрена информация, както и лек спад в някогашното рязко крадене на изследвания на ваксината COVID-19. „
Докладът подробно описва кибероперациите на страната и начина, по който те са структурирани в рамките на Генералното разузнавателно бюро или RGB – разузнавателната агенция на Северна Корея, подобна на ЦРУ или МИ-6. Той хвърля светлина и върху скандалната хакерска група „Лазарус“, която действа от Северна Корея от 2009 г. насам.
Според доклада „Лазарус“ не е отделна група хакери, а по-скоро събирателен термин, който репортерите използват за обозначаване на множество различни подкрепяни от държавата хакерски групи, действащи от Демократична република Северна Корея. Тези различни групи обаче работят в различни „сектори“ и имат уникални отговорности. Една от отговорностите е набирането на средства чрез кражба на криптовалути.
Оценка на киберструктурата на киберпрограмите на КНДР
Най-новите дейности в областта на кибершпионажа
Хакерските групи, свързани с Lazarus, напоследък са били активни и са използвали уязвимост в Google Chrome от началото на януари 2022 г. до средата на февруари, когато уязвимостта е била отстранена.
Групата за анализ на заплахите (Threat Analysis Group, или TAG) на Google заяви в публикация в блога си на 24 март, че подкрепяни от севернокорейската държава групи от атакуващи – проследени публично като „Операция Dream Job“ и „Операция AppleJeus“ – са използвали „уязвимост за отдалечено изпълнение на код в Chrome“ от началото на януари 2022 г., за да извършват различни хакерски и фишинг атаки. Адам Вайдеман от TAG заяви в публикацията в блога:
„Наблюдавахме кампании, насочени към базирани в САЩ организации, обхващащи новинарски медии, ИТ, криптовалути и финтех индустрии. Възможно е обаче да са били насочени и към други организации и държави. „
Експлойтът позволяваше на хакерите да изпращат фалшиви предложения за работа на хора, работещи в гореспоменатите индустрии, които след това водеха до подправени версии на популярни уебсайтове за търсене на работа като Indeed.com. Комплектът от експлойти и фишингът са подобни на тези, проследени в операция „Работа в мечтите“. Междувременно друга хакерска група се е насочила към криптофирми и борси, използвайки същия комплект експлойти.
От Google съобщиха, че около 340 души са били обект на посегателство от страна на хакерските групи. Тя добави, че всички идентифицирани уебсайтове и домейни са добавени към услугата ѝ за безопасно сърфиране, за да защити потребителите, и продължава да следи ситуацията.
Lazarus се насочва към финансовите услуги и криптографските услуги
Свързани с Лазарус хакерски групи участват в различни хакерски атаки срещу криптофирми и традиционни банки от няколко години насам. Някои забележителни хакерски атаки включват кибератаката на Бангладешката банка през 2016 г. и различни атаки, свързани с крипто, през 2017 г.
Основната хакерска група, фокусирана върху атаки в областта на финансовите услуги, е APT38, която стои зад прословутия хак на SWIFT. Тя включва подгрупа, наречена CryptoCore или „Отворена парола“.
Повечето от тези хакерски атаки са били успешни и се смята, че хакерите са събрали над 400 млн. долара за Северна Корея. Разследване на ООН стигна до заключението, че приходите от тези кибератаки са били използвани за финансиране на програмата за балистични ракети на страната отшелник.
