Näin 1,4 miljardin dollarin Bybit-ryöstön takana olevat pohjoiskorealaiset hakkerit iskevät kryptokehittäjiin

Pohjoiskorealainen hakkerointiryhmä on hyökännyt kryptovaluuttojen kehittäjiin uuden rekrytointihuijauksen avulla, joka ruiskuttaa tietoa varastavaa haittaohjelmaa uhrin järjestelmään.

Kyberturvallisuusyrityksen Palo Alto Networksin Unit 42:n tuoreen raportin mukaan ilkeä hakkerointiryhmä, joka tunnetaan aliaksilla, kuten Slow Kalat, Jade Sleet, PUKCHONG, TraderTraitor tai UNC4899, on esiintynyt rekrytoijana LinkedInissä.

Kun yhteydenotto on saatu, kehittäjät houkutellaan valheellisilla työtarjouksilla, joita seuraa näennäisesti rutiinikoodaustesti.

Mutta näissä GitHub-isännöitävissä projekteissa on piilotettu haittaohjelmien työkalupakki, joka saastuttaa hiljaa uhrin koneen.

Aluksi hakijoita pyydetään suorittamaan tiedosto, joka näyttää tavallisesti yksinkertaiselta ohjelmointitehtävältä, mutta kun se on suoritettu uhrin järjestelmässä, se suorittaa RN Loader -nimisen haittaohjelman, joka lähettää järjestelmätiedot takaisin hyökkääjälle.

Jos kohde kirjautuu ulos, otetaan käyttöön toisen vaiheen hyötykuorma, RN Stealer, joka voi kerätä kaiken SSH-avaimista ja iCloud-tiedoista Kubernetes- ja AWS-määritystiedostoihin.

Erityisen vaarallisen tästä kampanjasta tekee sen salakavalaisuus, sillä haittaohjelma aktivoituu vain tietyissä olosuhteissa, kuten IP-osoitteen tai järjestelmäasetusten yhteydessä, mikä vaikeuttaa tutkijoiden havaitsemista.

Se toimii myös kokonaan muistissa, jättäen hyvin vähän digitaalista jalanjälkeä.

Slow Kalat on yhdistetty korkean profiilin varkauksiin, mukaan lukien 1,4 miljardin dollarin Bybitin hyväksikäyttö aiemmin tänä vuonna.

Ryhmän taktiikka ei ole juurikaan muuttunut ajan myötä, mikä yksikön 42 mukaan saattaa johtua siitä, kuinka onnistuneita ja kohdennettuja heidän menetelmänsä ovat.

“Ennen Bybit-hakkerointia kampanjasta oli hyvin vähän yksityiskohtaista tietoa ja raportointia avoimessa lähdekoodissa, joten on mahdollista, että uhkatoimijat eivät kokeneet tarvetta muuttua”, Unit 42:n uhkatiedustelun johtaja Andy Piazza sanoi.

Pikemminkin uhkatekijät jopa paransivat käyttöturvallisuuttaan tutkijoiden mukaan, ja heidän nähtiin käyttävän YAML- ja JavaScript-mallitemppuja haitallisten komentojen piilottamiseen.

“Keskityminen LinkedInin kautta otettuihin henkilöihin laajojen tietojenkalastelukampanjoiden sijaan antaa ryhmälle mahdollisuuden hallita tiukasti kampanjan myöhempiä vaiheita ja toimittaa hyötykuormia vain odotetuille uhreille”, tietoturvatutkija Prashil Pattni lisäsi.

Pohjoiskorealaiset hakkerit hyökkäävät tietotekniikan ammattilaisiin

Pohjois-Korean hakkerointiryhmät ovat olleet vastuussa joistakin suurimmista kyberryöstöistä kryptosektorilla.

Arkham Intelligencen tiedot osoittavat, että Pohjois-Korean Lazarus Groupiin liittyvässä lompakossa oli yli 800 miljoonan dollarin arvosta Bitcoinia raportointihetkellä.

Google Threat Intelligence Groupin aiemmin tässä kuussa julkaistussa raportissa havaittiin pohjoiskorealaisten IT-työntekijöiden tunkeutuminen teknologia- ja kryptoyrityksiin erityisesti kaikkialla Euroopassa.

Viime vuonna Invezz raportoi, että kaksi hakkerointiryhmää aliaksilla Sapphire Sleet ja Ruby Sleet olivat vastuussa merkittävistä tappioista kryptoavaruudessa.

Huonojen toimijoiden havaittiin esiintyvän rekrytoijina, sijoittajina ja jopa kohdeyritysten työntekijöinä lipsahtaakseen ensimmäisten turvatarkastusten ohi ja istuttavan haittaohjelmia.

Sapphire Sleet keskittyi voimakkaasti kryptoyrityksiin ja oli kuulemma onnistunut ohjaamaan vähintään 10 miljoonaa dollaria takaisin Pohjois-Korean hallinnolle kuuden kuukauden sisällä.