Что нужно знать:
- Северная Корея, вероятно, стоит за взломом Radiant Capital в октябре.
- Хакерам удалось получить доступ, выдав себя за бывшего подрядчика.
- Эта же группа была связана с другими атаками, ориентированными на криптовалюту.
Как опытный исследователь кибербезопасности с более чем двадцатилетним опытом работы за плечами, я постоянно поражаюсь изобретательности и смелости этих киберпреступников. Взлом Radiant Capital — еще один пример того, как злоумышленники продолжают совершенствовать свою тактику, используя методы социальной инженерии для получения доступа к конфиденциальным системам.
Как криптоинвестор, я недавно узнал, что протокол DeFi, Radiant Capital, с которым я связан, указал пальцем на северокорейские хакерские группы за эксплойт стоимостью 50 миллионов долларов, произошедший в октябре.
Основываясь на выводах, изложенных в отчете от 6 декабря, я обнаружил, что подготовка к инциденту 16 октября началась примерно в середине сентября. Именно тогда разработчик Radiant Capital получил очевидное сообщение от бывшего доверенного подрядчика, замаскированное так, будто оно исходило от Telegram.
В записке указывалось, что подрядчик изучает новую перспективу трудоустройства в области аудита смарт-контрактов, и просили оставить отзыв. Там также была ссылка на заархивированный PDF-документ, который программист впоследствии открыл и распространил среди своих коллег для обсуждения.
Согласно отчету, теперь считается, что сообщение пришло от хакерской группы, связанной с Северной Кореей и выдававшей себя за подрядчика. Файл содержал тип вредоносного ПО под названием INLETDRIFT, который создавал долгосрочный бэкдор в системах macOS, одновременно показывая пользователю подлинный PDF-файл.
Как аналитик могу сказать, что наш комплексный анализ с использованием традиционных методов, таких как проверки и моделирование, не выявил каких-либо ярких несоответствий. Следовательно, эта потенциальная угроза оставалась неуловимой на этапах плановой оценки и казалась почти незаметной.
Получив доступ к компьютерам, хакеры смогли получить контроль над несколькими закрытыми ключами.
Северокорейскую связь выявила фирма по кибербезопасности Mandiant, хотя расследование еще не завершено. Mandiant заявила, что, по ее мнению, нападение было организовано UNC4736, группой, связанной с Генеральным разведывательным управлением страны. Он также известен как AppleJeus или Citrine Sleet.
Как исследователь, я обнаружил доказательства того, что наша организация была замешана в различных кибератаках, связанных с криптовалютными компаниями. Ранее мы использовали обманную тактику, например, создавая мошеннические платформы обмена криптовалютой, чтобы заманить ничего не подозревающих людей для загрузки вредоносного программного обеспечения. Часто это достигалось путем маскировки возможностей трудоустройства и поддельных кошельков под законные ссылки.
Это событие произошло после предыдущей несвязанной кибератаки на Radiant Capital в январе, в результате которой компания потеряла около 4,5 миллионов долларов.
Смотрите также
2024-12-09 12:45