Hackerii nord-coreeni vizează o firmă americană într-un atac de criptomonede

Un renumit grup de hacking susținut de Coreea de Nord s-a infiltrat recent în JumpCloud, o firmă americană de management IT cu sediul în Louisville, Colorado. Surse intime cu situația au dezvăluit că hackerii au folosit apoi această breșă ca rampă de lansare pentru a viza în continuare companiile care se ocupă de criptomonede, cu scopul de a-și destrama activele digitale.
Natura acestui atac cibernetic demonstrează o strategie în evoluție în rândul hackerilor nord-coreeni. Anterior, ei vizau individual entitățile criptomonede; cu toate acestea, modus operandi lor pare acum să implice atacarea unei singure companii de gateway care are conexiuni la mai multe surse de criptomonede.
Răspunsul JumpCloud
JumpCloud a recunoscut încălcarea într-o postare pe blog, sugerând că un „actor de amenințare sponsorizat de statul național” este responsabil. Cu toate acestea, compania a rămas cu buzele strânse atunci când a fost întrebată despre autorii specifici sau despre clientela afectată. În timp ce un reprezentant de la JumpCloud a confirmat că mai puțin de cinci clienți au fost afectați, încă nu există claritate dacă vreo monedă digitală a fost sustragetă în timpul încălcării.
Confirmări ale experților
CrowdStrike Holdings, o firmă proeminentă de securitate cibernetică, a coroborat că grupul identificat drept „Labyrinth Chollima” – o bandă notorie de agenți cibernetici nord-coreeni – a orchestrat această intruziune cibernetică. Adam Meyers, vicepreședinte senior pentru informații la CrowdStrike, s-a abținut să detalieze obiectivele hackerilor, dar a subliniat tendința lor istorică de a viza deținerile de criptomonede. El a remarcat: „Scopul lor principal pare să se învârte în jurul finanțării regimului”.
Dezvăluirea modului de operare
Tom Hegel, un cercetător în domeniul securității cibernetice de la SentinelOne, a subliniat schimbarea abordării hacking-ului din Coreea de Nord. Neimplicat direct în investigație, Hegel a subliniat modul în care Coreea de Nord și-a perfecționat abilitățile în „atacuri pe lanțul de aprovizionare”. Astfel de strategii implică infiltrarea furnizorilor de servicii sau software pentru a sifona indirect date sau fonduri de la clienții lor. Hegel a avertizat: „Coreea de Nord își crește cu siguranță miza”.
Mai mult, Hegel intenționează să publice o postare care subliniază modul în care indicii digitale lansate de JumpCloud leagă hackerii de activitățile de obicei asociate cu Coreea de Nord.
Reacții și context
Atât agenția de supraveghere cibernetică din SUA, CISA, cât și FBI s-au abținut de la a comenta această problemă.
Această încălcare la JumpCloud, o companie specializată în asistența administratorilor de rețea, a ieșit la iveală atunci când firma a notificat clienții că acreditările lor erau modificate din cauza „un incident”. Ulterior, JumpCloud a dezvăluit într-o postare pe blog că au urmărit încălcarea încă din 27 iunie. Risky Business, un podcast specializat în securitate cibernetică, a identificat și Coreea de Nord ca principal suspect în atac.
Labyrinth Chollima, renumit pentru exploatările sale cibernetice îndrăznețe, este una dintre cele mai importante entități de hacking din Coreea de Nord. Istoria lor este plină de furturi imense de monedă digitală. Într-o revelație uluitoare, entitatea de analiză blockchain Chainalysis a raportat anul trecut că hackerii nord-coreeni au furat aproximativ 1,7 miliarde de dolari în criptomonede în mai multe operațiuni.
Meyers de la CrowdStrike a avertizat cu privire la subestimarea brigăzilor cibernetice nord-coreene și anticipează mai multe astfel de atacuri ale lanțului de aprovizionare din partea acestora în viitor.