Un rinomato gruppo di hacker sostenuto dalla Corea del Nord si è recentemente infiltrato in JumpCloud, una società americana di gestione IT con sede a Louisville, Colorado. Fonti vicine alla situazione hanno rivelato che gli hacker hanno poi utilizzato questa violazione come rampa di lancio per colpire ulteriormente le aziende che si occupano di criptovaluta, con l'obiettivo di sottrarre i loro asset digitali.

La natura di questo attacco informatico dimostra una strategia in evoluzione tra gli hacker nordcoreani. In precedenza, prendevano di mira individualmente entità di criptovaluta; tuttavia, il loro modus operandi ora sembra comportare l'attacco a una singola società gateway che ha connessioni a più fonti di criptovaluta.

La risposta di JumpCloud

JumpCloud ha ammesso la violazione in un post sul blog, suggerendo che il responsabile fosse un "attore di minacce sponsorizzato da uno stato-nazione". Tuttavia, l'azienda è rimasta a bocca cucita quando interrogata sui responsabili specifici o sulla clientela interessata. Mentre un rappresentante di JumpCloud ha confermato che meno di cinque clienti erano stati interessati, non c'è ancora chiarezza sul fatto che qualche valuta digitale sia stata sottratta durante la violazione.

Conferme degli esperti

CrowdStrike Holdings, una nota società di sicurezza informatica, ha confermato che il gruppo identificato come "Labyrinth Chollima", una famigerata banda di cyber-operativi nordcoreani, ha orchestrato questa intrusione informatica. Adam Meyers, Senior Vice President for Intelligence presso CrowdStrike, si è astenuto dall'elaborare gli obiettivi degli hacker, ma ha sottolineato la loro propensione storica a prendere di mira le partecipazioni in criptovalute. Ha osservato: "Il loro obiettivo principale sembra ruotare attorno al finanziamento del regime".

Svelare il modus operandi

Tom Hegel, un ricercatore di sicurezza informatica di SentinelOne, ha evidenziato il cambiamento nell'approccio di hacking della Corea del Nord. Non direttamente coinvolto nell'indagine, Hegel ha sottolineato come la Corea del Nord abbia affinato la sua abilità negli "attacchi alla supply chain". Tali strategie comportano l'infiltrazione di fornitori di servizi o software per sottrarre indirettamente dati o fondi ai loro clienti. Hegel ha avvertito: "La Corea del Nord sta sicuramente alzando la posta in gioco".

Inoltre, Hegel ha intenzione di pubblicare un post in cui sottolinea come gli indizi digitali diffusi da JumpCloud colleghino gli hacker ad attività tipicamente associate alla Corea del Nord.

Reazioni e contesto

Sia l'agenzia statunitense di controllo informatico, CISA, sia l'FBI si sono astenuti dal commentare la questione.

Questa violazione presso JumpCloud, un'azienda specializzata nell'assistenza agli amministratori di rete, è venuta alla luce quando l'azienda ha notificato ai clienti che le loro credenziali erano state alterate a causa di "un incidente". Successivamente, JumpCloud ha rivelato in un post sul blog di aver fatto risalire la violazione al 27 giugno. Risky Business, un podcast specializzato in sicurezza informatica, ha anche identificato la Corea del Nord come principale sospettata dell'attacco.

Labyrinth Chollima, nota per i suoi audaci exploit informatici, è una delle principali entità di hacking della Corea del Nord. La sua storia è costellata di immensi furti di valuta digitale. In una sconvolgente rivelazione, l'entità di analisi blockchain Chainalysis ha riferito l'anno scorso che gli hacker nordcoreani avevano rubato circa 1,7 miliardi di dollari in criptovalute in più operazioni.

Meyers di CrowdStrike ha messo in guardia dal sottovalutare le brigate informatiche nordcoreane e prevede che in futuro si verificheranno altri attacchi simili alla supply chain.