Severokorejští hackeři cílí na americkou firmu při loupeži kryptoměn

Renomovaná hackerská skupina podporovaná Severní Koreou nedávno infiltrovala JumpCloud, americkou firmu pro správu IT se sídlem v Louisville, Colorado. Zdroje důvěrné se situací odhalily, že hackeři poté toto narušení využili jako odrazový můstek k dalšímu zacílení na společnosti zabývající se kryptoměnami s cílem vysát jejich digitální aktiva.
Povaha tohoto kybernetického útoku demonstruje vyvíjející se strategii mezi severokorejskými hackery. Dříve se jednotlivě zaměřovaly na entity kryptoměn; zdá se však, že jejich modus operandi nyní zahrnuje útok na jedinou bránu společnosti, která má připojení k více zdrojům kryptoměn.
Odpověď JumpCloud
JumpCloud přiznal porušení v blogovém příspěvku, což naznačuje, že za to byl zodpovědný „národním státem sponzorovaný aktér hrozby“. Firma však při dotazech na konkrétní pachatele či dotčenou klientelu zůstala skoupá. Zatímco zástupce společnosti JumpCloud potvrdil, že postiženo bylo méně než pět klientů, zatím není jasné, zda během narušení došlo k útěku nějaké digitální měny.
Odborná potvrzení
CrowdStrike Holdings, prominentní firma zabývající se kybernetickou bezpečností, potvrdila, že skupina identifikovaná jako „Labyrint Chollima“ – notoricky známá skupina severokorejských kybernetických agentů – zorganizovala toto kybernetické narušení. Adam Meyers, senior viceprezident pro zpravodajství ve společnosti CrowdStrike, se zdržel podrobností o cílech hackerů, ale zdůraznil jejich historický sklon zaměřovat se na držby kryptoměn. Poznamenal: "Zdá se, že jejich hlavním cílem je financování režimu."
Rozluštění Modus Operandi
Tom Hegel, výzkumník kybernetické bezpečnosti ze SentinelOne, zdůraznil posun v přístupu Severní Koreje k hackerství. Hegel, který se přímo nepodílel na vyšetřování, zdůraznil, jak Severní Korea zdokonalila své dovednosti v „útocích na dodavatelský řetězec“. Takové strategie zahrnují infiltraci poskytovatelů služeb nebo softwaru, aby nepřímo odčerpali data nebo finanční prostředky od svých klientů. Hegel varoval: "Severní Korea rozhodně zvyšuje svou ante."
Kromě toho Hegel plánuje zveřejnit příspěvek zdůrazňující, jak digitální stopy vydané JumpCloud spojují hackery s aktivitami typicky spojenými se Severní Koreou.
Reakce a pozadí
Jak americká kybernetická agentura CISA, tak FBI se zdržely komentáře k této záležitosti.
Toto porušení ve společnosti JumpCloud, která se specializuje na pomoc správcům sítí, vyšlo najevo, když firma oznámila klientům, že jejich přihlašovací údaje byly změněny kvůli „incidentu“. Následně JumpCloud v blogovém příspěvku odhalil, že narušení vystopovali zpět k 27. červnu. Risky Business, podcast specializující se na kybernetickou bezpečnost, také označil Severní Koreu za hlavního podezřelého z útoku.
Labyrint Chollima, proslulý svými odvážnými kybernetickými útoky, je jednou z předních hackerských entit v Severní Koreji. Jejich historie je prošpikována obrovskými krádežemi digitální měny. V ohromujícím odhalení, blockchainová analytická entita Chainalysis minulý rok oznámila, že severokorejští hackeři ukradli kryptoměny v odhadované výši 1,7 miliardy dolarů v několika operacích.
Meyers z CrowdStrike varoval před podceňováním severokorejských kybernetických brigád a očekává od nich v budoucnu více takových útoků na dodavatelský řetězec.