Поделиться
Хакеры из Северной Кореи за три года обокрали криптобиржи на сотни миллионов долларов
У группировки Lazarus, по-видимому, есть спецподразделение, которое занимается кражей средств из кошельков криптобирж по всему миру. Сейчас оно интенсивно занимается израильскими биржами.
Ущерб на 200 с лишним миллионов
Северокорейские хакеры за последние три года обобрали криптобиржи США, Израиля, Европы и Японии на сотни миллионов долларов. Организация под условным наименованием CryptoCore, стоящая за этими операциями, тесно связана с кибергруппировкой Lazarus, которая считается детищем северокорейских спецслужб.
Еще в 2020 г. деятельность CryptoCore была описана экспертами компании ClearSky. В исследовании говорилось, что атаки начались в 2018 г., и что мотивация этой группировка имела сугубо финансовый характер. Большая часть атак была направлена на онлайн-кошельки криптобирж или их отдельных работников. Атаки всегда начинались со спиэр-фишинга.
К 2020 г. CryptoCore нанесла ущерба на сумму более $200 млн. По мнению экспертов ClearSky, группировка могла иметь восточно-европейское происхождение. Однако расследования других компаний эти данные скорректировали.
Поющие Лазаря
Исследователи компании F-Secure, например, сразу указали на то, что вредоносные программы, используемые CryptoCore, очень напоминают те, которыми пользуется Lazarus.
В своем новом исследовании эксперты ClearSky проанализировали исследования сразу нескольких других фирм: NTTSecurity, JPCERT/CC, ESET и «Лаборатории Касперского». Оказалось, что правила YARA для RAT-троянцев CryptoCore, установленные экспертами F-Secure, при минимальных изменениях срабатывают и против RAT-троянцев Lazarus, описанных в более ранних исследованиях «Лаборатории Касперского» и ESET. Кроме того, удалось выявить сходство в коде и в поведении вредоносов Lazarus и CryptoCore и подтвердить наличие 40 общих индикаторов компрометации.
В итоге в ClearSky берутся «со средневысокой уверенностью» утверждать, что за CryptoCore и Lazarus стоят одни и те же люди.
Сейчас CryptoCore активно пытается атаковать криптобиржи Израиля. Скорее всего, как пишет Bleeping Computer, им не важно, где эти биржи располагаются, имеют значение только их обороты и степень защищенности.
«То, что северокорейские акторы атакуют криптобиржи и организации финансового сектора, не является большой новостью, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Еще в прошлом году фирмы Groub-IB и Sansec обратили внимание на атаки Lazarus, нацеленные на торговые площадки, отмечая, что злоумышленников уже интересуют не только данные платежных карт, но и криптовалюты. Вероятно, CryptoCore — это просто специализированное подразделение Lazarus, занимающееся кражей криптовалютных активов».
Короткая ссылка
