Az észak-koreai hackerek már amerikai cégeken keresztül támadják a kriptofejlesztőket
Amerikai technológiai vállalkozóknak álcázták magukat az észak-koreai hackerek. Az áldozatoktól adatokat loptak, eszközeikre különböző veszélyes hackerprogramokat telepítettek.
Fiktív cégeken keresztül támadta a fejlesztőket a Lazarus Group
A Silent Push biztonsági cég szerint a Lazarus csoport hackerei amerikai technológiai vállalkozóknak álcázták magukat és a kriptoipar fejlesztőire vadásztak. A cégeket New Yorkban és Új-Mexikóban jegyezték be, majd manipulatív eszközökkel próbálták félrevezetni a kiszemelt vállalatokat és fejlesztőket.
„Ez egy ritka példa arra, hogy észak-koreai hackereknek valóban sikerült legális vállalatokat létrehozniuk az Egyesült Államokban”
– mondta Kasey Best, a Silent Push fenyegetéselemzési igazgatója. A hackerek forgatókönyve rendkívül hatékonynak bizonyult.
Számos manipulatív módszert vetettek be, köztük hamis LinkedIn profilokat és álláshirdetéseket hoztak létre, hogy interjúra csábítsák a kriptofejlesztőket. Majd a felvételi eljárás során rávették az áldozatokat, hogy töltsenek le egy álláspályázati eszköznek álcázott rosszindulatú programot.
A hitelesség fenntartása végett a hackerek előszeretettel használták a mesterséges intelligenciát is. Személyazonosságot, képeket és videókat generáltak, miközben a korábban lopott személyek adatait is felhasználták. Mindez magyarázza, hogyan maradt sokáig a radar alatt a 2024 óta futó csalássorozat.
A telepítésre kért szoftverben legalább három olyan vírust találtak, amelyet korábban az észak-koreai kiberbűnözőkhöz kötöttek. Ezek a programok lehetővé teszik az adatok ellopását, távoli hozzáférést biztosítanak a fertőzött rendszerekhez, és további kémprogramok vagy zsarolóprogramok belépési pontjaként szolgálhatnak.
Érdekelhet: A Lazarus Group ezúttal a Solana és Exodus tárcákat vette célba
A legtöbb áldozatot a „Blocknovas” nevű vállalkozáson keresztül keresték meg, amely a kutatók szerint a legaktívabb volt a három fedőcég közül. A cég Dél-Karolinában megadott címe egy üres teleknek tűnik, míg a Softglide nevet kapó kirakatvállalkozást egy New York-i Buffalóban található adóhivatalon keresztül jegyezték be.
Lecsapott az FBI
Az FBI nem kívánt konkrétan nyilatkozni a megnevezett vállalkozásokról. Azonban csütörtökön a Nyomozóiroda a Blocknovas weboldalán közzétett lefoglalási közleménye szerint a domain mögött az észak-koreai kiberügynökök álltak.
A lefoglalás előtt az FBI tisztviselői a Reutersnek elmondták, hogy az iroda továbbra is „arra összpontosít, hogy kockázatokat és következményeket vessen ki nemcsak magukra a KNDK-s szereplőkre, hanem bárkire, aki elősegíti, hogy ilyen cselszövéseket hajthassanak végre”.
Kapcsolódó:
- Az észak-koreai Lazarus Group áll a Bybit hackertámadás mögött
- Egy átlagos észak-koreai hacker 12 személynek adja ki magát
- A Bybit történelmi hackertámadásából 380 millió dollár végleg eltűnt