Хакеры из Северной Кореи за три года обокрали криптобиржи на сотни миллионов долларов

0
172

Ущерб на 200 с лишним миллионов

Северокорейские хакеры за последние три года обобрали криптобиржи США, Израиля, Европы и Японии на сотни миллионов долларов. Организация под условным наименованием CryptoCore, стоящая за этими операциями, тесно связана с кибергруппировкой Lazarus, которая считается детищем северокорейских спецслужб.

Еще в 2020 г. деятельность CryptoCore была описана экспертами компании ClearSky. В исследовании говорилось, что атаки начались в 2018 г., и что мотивация этой группировка имела сугубо финансовый характер. Большая часть атак была направлена на онлайн-кошельки криптобирж или их отдельных работников. Атаки всегда начинались со спиэр-фишинга.

К 2020 г. CryptoCore нанесла ущерба на сумму более $200 млн. По мнению экспертов ClearSky, группировка могла иметь восточно-европейское происхождение. Однако расследования других компаний эти данные скорректировали.

ЧИТАТЬ ТАКЖЕ:  Российские тюрьмы ни при чем. В МВД определили, что мошенники от имени банков звонят из-за рубежа

Поющие Лазаря

Исследователи компании F-Secure, например, сразу указали на то, что вредоносные программы, используемые CryptoCore, очень напоминают те, которыми пользуется Lazarus.

Хакеры из Северной Кореи за три года обокрали криптобиржи на сотни миллионов долларов

Похитителей средств криптобирж связали с хакерами из Северной Кореи

В своем новом исследовании эксперты ClearSky проанализировали исследования сразу нескольких других фирм: NTTSecurity, JPCERT/CC, ESET и «Лаборатории Касперского». Оказалось, что правила YARA для RAT-троянцев CryptoCore, установленные экспертами F-Secure, при минимальных изменениях срабатывают и против RAT-троянцев Lazarus, описанных в более ранних исследованиях «Лаборатории Касперского» и ESET. Кроме того, удалось выявить сходство в коде и в поведении вредоносов Lazarus и CryptoCore и подтвердить наличие 40 общих индикаторов компрометации.

В итоге в ClearSky берутся «со средневысокой уверенностью» утверждать, что за CryptoCore и Lazarus стоят одни и те же люди.

ЧИТАТЬ ТАКЖЕ:  REG.RU показал как выглядели бы бизнес-сайты писателей-классиков

Сейчас CryptoCore активно пытается атаковать криптобиржи Израиля. Скорее всего, как пишет Bleeping Computer, им не важно, где эти биржи располагаются, имеют значение только их обороты и степень защищенности.

«То, что северокорейские акторы атакуют криптобиржи и организации финансового сектора, не является большой новостью, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Еще в прошлом году фирмы Groub-IB и Sansec обратили внимание на атаки Lazarus, нацеленные на торговые площадки, отмечая, что злоумышленников уже интересуют не только данные платежных карт, но и криптовалюты. Вероятно, CryptoCore — это просто специализированное подразделение Lazarus, занимающееся кражей криптовалютных активов».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь