一個著名的朝鮮支持的黑客組織最近入侵了位於科羅拉多州路易斯維爾的美國 IT 管理公司 JumpCloud。知情人士透露,黑客隨後利用這次入侵作爲跳板,進一步攻擊從事加密貨幣業務的公司,目的是竊取他們的數字資產。
此次網絡攻擊的性質表明朝鮮黑客的策略正在不斷演變。此前,他們會單獨攻擊加密貨幣實體;但現在他們的作案手法似乎是攻擊與多個加密貨幣來源有聯繫的單個網關公司。
JumpCloud 的迴應
JumpCloud 在一篇博文中承認了此次入侵,並暗示“國家支持的威脅行爲者”應對此負責。然而,當被問及具體肇事者或受影響的客戶時,該公司保持沉默。雖然 JumpCloud 的一位代表證實受影響的客戶不到五人,但目前尚不清楚是否有任何數字貨幣在入侵期間被盜。
專家確認
知名網絡安全公司 CrowdStrike Holdings 證實,此次網絡入侵是由臭名昭著的朝鮮網絡特工團夥“Labyrinth Chollima”策劃的。CrowdStrike 情報高級副總裁 Adam Meyers 沒有詳述黑客的目標,但強調了他們一貫以加密貨幣資產爲目標。他評論道:“他們的主要目標似乎是爲政權提供資金。”
揭開作案手法
SentinelOne 網絡安全研究員湯姆·黑格爾 (Tom Hegel) 強調了朝鮮黑客攻擊方式的轉變。黑格爾沒有直接參與調查,但他強調朝鮮如何磨練其“供應鏈攻擊”的技能。此類策略包括滲透服務或軟件提供商,以間接竊取其客戶的數據或資金。黑格爾警告說:“朝鮮肯定在加大賭注。”
此外,黑格爾計劃發佈一篇文章,強調 JumpCloud 發佈的數字線索如何將黑客與通常與朝鮮有關的活動聯繫起來。
反應和背景
美國網絡監督機構 CISA 和 FBI 均未對此事發表評論。
JumpCloud 是一家專門協助網絡管理員的公司,該公司通知客戶由於“一次事故”導致其憑證被更改,因此此次數據泄露事件被曝光。隨後,JumpCloud 在一篇博客文章中透露,他們已將此次數據泄露事件追溯到 6 月 27 日。專注於網絡安全的播客《Risky Business》也將朝鮮列爲此次攻擊的主要嫌疑人。
Labyrinth Chollima 因其大膽的網絡攻擊而臭名昭著,是朝鮮最重要的黑客組織之一。他們的歷史上充斥着大量數字貨幣盜竊案。令人震驚的是,區塊鏈分析機構 Chainalysis 去年報告稱,朝鮮黑客在多個行動中竊取了價值約 17 億美元的加密貨幣。
CrowdStrike 的邁耶斯警告不要低估朝鮮網絡大軍,並預計未來朝鮮還會發動更多此類供應鏈攻擊。
