Как один зараженный Mac и аккаунты в Telegram и LinkedIn помогли хакерам из КНДР украсть криптовалюту на $7 млн
29.01.2020 3 620 0 +145 Rageskin

Как один зараженный Mac и аккаунты в Telegram и LinkedIn помогли хакерам из КНДР украсть криптовалюту на $7 млн

---
+145
В закладки
Как один зараженный Mac и аккаунты в Telegram и LinkedIn помогли хакерам из КНДР украсть криптовалюту на  млн DragonEx, хакеры, Chainalysis, Lazarus, через, эксперты, LinkedIn, WFCWallet, криптовалютных, пользователей, данным, криптобиржи, Telegram, хакеров, стороны, атаки, Северной, взлом, биржи, якобыХакеры из КНДР взломали компьютеры Apple

Северокорейские хакеры предположительно похитили $7 млн у клиентов сингапурской криптобиржи DragonEx. Как установили эксперты, в ходе операции они использовали фейковые аккаунты в Telegram и LinkedIn

Хакеры из Северной Кореи используют подставные аккаунты в LinkedIn и Telegram для похищения данных криптокошельков у пользователей операционной системы macOS, предупреждают эксперты по криптовалютам из аналитического агентства Chainalysis.

Отчет агентства, с которым ознакомилась редакция Forbes, выявил ранее неизвестные сведения об атаках на криптовалютные биржи со стороны Lazarus Group. Эта хакерская группировка, как считают власти США и многие эксперты в сфере кибербезопасности, финансируется Северной Кореей. Группировке приписывают взлом базы данных Sony Pictures в 2014 году и распространение вируса-вымогателя WannaCry в 2017-м.

В марте 2019 года хакеры совершили систематические атаки на сингапурскую криптовалютную биржу DragonEx, из-за чего та потеряла $7 млн, рассказал Forbes специалист из Chainalysis, пожелавший остаться неизвестным. Злоумышленники начали с того, что придумали подставную компанию под названием WFCWallet и разработали для нее солидно выглядевший сайт, а в LinkedIn зарегистрировали профили якобы сотрудников этой компании.

Как один зараженный Mac и аккаунты в Telegram и LinkedIn помогли хакерам из КНДР украсть криптовалюту на  млн DragonEx, хакеры, Chainalysis, Lazarus, через, эксперты, LinkedIn, WFCWallet, криптовалютных, пользователей, данным, криптобиржи, Telegram, хакеров, стороны, атаки, Северной, взлом, биржи, якобыФейковый профиль в LinkedIn, который, по данным Chainalysis, создали хакеры

С сайта пользователям якобы предлагалось загрузить программное обеспечение, которое представляло собой зараженную версию настоящей платформы для сделок с биткоинами. После загрузки программа открывала на зараженном компьютере Mac обходной путь, по которому хакеры могли похищать ключи к аккаунтам пользователя на криптовалютных площадках. Помимо этого, вирус имел функционал кейлоггинга, то есть отслеживал и регистрировал все действия пользователя на клавиатуре и других устройствах ввода. Таким образом украсть персональные данные вроде паролей хакерам стало еще проще.

После создания компании-пустышки хакеры связались с неназванной высокопоставленной сотрудницей криптобиржи DragonEx через мессенджер Telegram. Ее спросили, не хочет ли биржа сотрудничать с WFCWallet, и предложили опробовать кошелек-вирус. Несмотря на то, что она изначально отнеслась к потенциальному партнерству скептически, взломщики напоминали ей о себе на протяжении нескольких недель. Затем по каким-то причинам один работник DragonEx все-таки загрузил хакерскую программу на свой Mac. По стечению обстоятельств на этом устройстве хранились данные персональных ключей к аккаунтам клиентов. По мнению источника в Chainalysis, это было серьезным упущением со стороны самой биржи DragonEx. Как бы там ни было, после атаки компания заявила о намерении усовершенствовать систему безопасности.

С зараженного Mac впоследствии были похищена информация по множеству криптосчетов с биткоинами, рипплами и лайткоинами. Чтобы замести следы, хакеры провели украденные средства через цепочку других кошельков.

Как один зараженный Mac и аккаунты в Telegram и LinkedIn помогли хакерам из КНДР украсть криптовалюту на  млн DragonEx, хакеры, Chainalysis, Lazarus, через, эксперты, LinkedIn, WFCWallet, криптовалютных, пользователей, данным, криптобиржи, Telegram, хакеров, стороны, атаки, Северной, взлом, биржи, якобыСкриншот сайта WFCWallet

Первые случаи применения Северной Кореей подставных компаний были замечены еще в 2018 году, а затем и на протяжении всего следующего. Однако именно взлом системы DragonEx показал, насколько эффективной может оказаться подобная схема.

Биржа DragonEx обратилась в Chainalysis для расследования атаки. Агентство отмечает, что WFCWallet была одной из самой продуманных фишинговых кампаний, с какими приходилось сталкиваться специалистам. Кибератака была проведена «на качественно новом уровне сложности», заявила компания.

«Расследование помогло выяснить, какие временные рамки и ресурсы имеются в распоряжении хакеров из Lazarus. Оно также выявило их глубокие познания о криптовалютной системе, необходимые для успешной имитации реальных участников рынка», — сообщила Chainalysis.

DragonEx не ответила на запросы о комментариях.

В этом месяце эксперты «Лаборатории Касперского» заявили о том, что теперь хакеры Lazarus Group полагаются не только на загрузку вируса через сайт, но и научились заражать устройства прямо через Telegram.

Больше взломов, меньше похищенных денег

В отчете Chainalysis также говорится о том, что в 2019 году крупных взломов криптовалютных бирж было зарегистрировано больше, чем в любой другой период. По данным компании, в прошлом году хакеры совершили 11 масштабных кибератак и похитили у пользователей $283 млн. С другой стороны, в 2019-м сократилась сумма похищенного. Например, в 2018 году только с криптобиржи Coincheck были украдены $534 млн.

Хакеры из КНДР крадут деньги пользователей преимущественно для финансирования оружейного производства государством. Объявляя в прошлом году о санкциях в отношении северокорейских хакеров, министерство финансов США отметило, что Lazarus является главной группировкой, «совершающей кибератаки для поддержки противозаконных программ производства вооружений и пуска ракет». По данным властей США, Lazarus была сформирована правительством КНДР еще в 2007 году как структурное подразделение Генерального бюро разведки.

Chainalysis уточняет, что, несмотря на очевидную жажду группировки к виртуальным деньгам, 50% всех украденных средств в 2019 году никак задействованы не были и оставались на основном счету хакеров. Так как Chainalysis заключили несколько контрактов с американскими государственными ведомствами (главным образом, договор с ФБР на $380 000 на отслеживание криптовалютных операций), вполне вероятно, что когда власти КНДР попытаются получить доступ к похищенному, правительство США об этом узнает.

уникальные шаблоны и модули для dle

Комментарии (0)
Добавить комментарий
Прокомментировать
[related-news]
{related-news}
[/related-news]