Wyrafinowane operacje cybernetyczne wykorzystujące pozornie legalne struktury korporacyjne stały się znaczącą taktyką dla podmiotów sponsorowanych przez państwa. Najnowsze ustalenia podkreślają, jak podmioty powiązane z Koreą Północną zastosowały tę strategię, zakładając firmy przykrywki w celu infiltracji sektora kryptowalut.
Demaskowanie firm przykrywek
Badacze bezpieczeństwa z Silent Push szczegółowo opisali sieć obejmującą trzy fałszywe firmy kryptowalutowe rzekomo prowadzone przez hakerów powiązanych z reżimem północnokoreańskim, potencjalnie z grupy Lazarus. Te fikcyjne przedsiębiorstwa, zidentyfikowane jako BlockNovas LLC, SoftGlide LLC i Angeloper Agency, zostały zaprojektowane tak, aby wyglądały na autentyczne. Warto zauważyć, że BlockNovas LLC i SoftGlide LLC były oficjalnie zarejestrowanymi podmiotami w Stanach Zjednoczonych, co dodawało warstwę postrzeganej legalności ich operacjom.
Cele i taktyki
Głównymi celami tego schematu byli deweloperzy pracujący w przestrzeni kryptowalutowej. Atakujący podobno wykorzystywali fałszywe oferty pracy na platformach często odwiedzanych przez deweloperów, aby zwabić potencjalne ofiary. Według raportu Silent Push, ta grupa, czasami określana jako ‘Contagious Interview’, stosowała rozbudowaną inżynierię społeczną, używając zmyślonych tożsamości i danych biznesowych, aby budować zaufanie.
Po nawiązaniu kontaktu, celem było wdrożenie złośliwego oprogramowania. Raport wymienia szczepy malware, takie jak BeaverTail, InvisibleFerret i OtterCookie, jako powiązane z tymi atakami. Chociaż dokładna liczba ofiar pozostaje nieujawniona, analitycy sugerują, że kilka osób, w tym niektóre osoby publiczne, mogło zostać skompromitowanych.
Metoda eksploatacji i działania organów ścigania
Jeden konkretny wektor ataku polegał na oszukaniu celów podczas symulowanego procesu rekrutacyjnego. Ofiary próbujące przejść komponent wideo mogły napotkać zmyślony błąd, który skłaniałby je do uruchomienia rzekomej „naprawy” poprzez wiersz poleceń. To działanie prowadziło jednak do kradzieży danych.
Niedozwolony charakter tych operacji przyciągnął uwagę władz. Dostęp do strony internetowej BlockNovas został zablokowany przez Federalne Biuro Śledcze (FBI), co wskazuje na oficjalne działania podjęte przeciwko tej konkretnej przykrywce. Ten wzorzec podszywania się jest zgodny z wcześniej obserwowanymi taktykami północnokoreańskich grup hakerów, które celowały w różne sektory, w tym w specjalistów IT w Europie, aby uzyskać nieautoryzowany dostęp do poufnych informacji korporacyjnych.
Eryk – pasjonat nowoczesnych technologii i rynków finansowych. Dzięki wieloletniemu doświadczeniu w analizie trendów, codziennie dostarcza świeże informacje na temat kryptowalut, biznesu oraz nieruchomości. Jego przenikliwe spojrzenie na dynamiczny świat finansów sprawia, że Coinbit.pl to niezastąpione źródło wiedzy dla każdego inwestora.