USA varuje kryptoměnové burzy před hackerskými útoky ze Severní Koreji

Instituce FBI, Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) a Ministerstvo financí společně vydaly upozornění pro kryptoměnové společnosti působící na území Spojených států před hrozbou útoků hackerských skupin ze Severní Koreji. Uvedly příklady několika z nich, např. Lazarus Group, APT38 či BlueNoroff.

Jedná se o skupiny se silnými vazbami na Severní Koreu, dle americké rozvědky některé z nich Severní Korea přímo ovládá. Tou největší a nejrozsáhlejší, společně s nejsilnější vazbou na Severní Koreu, by měla být skupina Lazarus s BlueNoroff jako její podskupinou, ta byla např. odhalena výzkumníky antivirové společnosti Kaspersky při její loupeži Bangladéšské Centrální Banky v roce 2016.

O dalších skupinách zmiňovaných ve zprávě, jako APT38 a Stardust Chollima, je propojení se Severní Koreou též dlouho známé. Na poslední zmiňovanou se před pár lety zaměřila i texaská kyberbezpečnostní společnost CrowdStrike.

CrowdStrike’s Adversary of the Month for April is STARDUST CHOLLIMA. This blog explains what this North Korean sponsored threat actor uses techniques such as code protection tools to remain hidden on target systems for long periods of time https://t.co/mNOavqZJrC #DPRK pic.twitter.com/oLBWwuMLT5

— CrowdStrike (@CrowdStrike) April 11, 2018

Tyto skupiny používají pro snadnější krádež kryptoměn taktiku zahrnující nahrávání malwarového softwaru do aplikací obětí.

“Americká vláda pozorovala severokorejské kybernetické aktéry, kteří se zaměřují na různé organizace v blockchainové technologii a průmyslu kryptoměn, včetně kryptoměnových směnáren, protokolů decentralizovaných financí (DeFi), videoher s kryptoměnami s možností vydělávání (play-to-earn), společností obchodujících s kryptoměnami, fondů rizikového kapitálu a individuálních držitelů velkého množství kryptoměn nebo cenných nezaměnitelných tokenů (NFT),” uvedla CISA ve zprávě.

Za jaké útoky jsou skupiny zodpovědné?

Skupina Lazarus byla spojena s hackem Sony Pictures z roku 2014 a nedávno s krypto loupeží Axie Infinity, které ukradla více než 600 milionů dolarů ze sidechainu Etherea, sítě Ronin. Podle Rady bezpečnosti OSN příjmy této skupiny pocházejí z odcizení až 200 milionů dolarů v kryptoměnách ročně. OSN předpokládá, že jsou prostředky využity k částečnému financování severokorejských programů zbraní hromadného ničení a balistických raket.

“Od dubna 2022 se aktéři skupiny Lazarus ze Severní Koreje zaměřovali na různé firmy, subjekty a burzy v blockchainovém a kryptoměnovém průmyslu pomocí spear phishingových kampaní a malwaru,” uvádí dále zpráva.

Hackeři využívají i phishing, nejvíce se zajímají o Ethereum

Vláda dále upozorňuje na spear phishingovou kampaň známou jako “TraderTraitor” zaměřující se na IT sektor společnosti s pochybnými odkazy ke stažení, které jsou zdánlivě odeslané od důvěryhodného odesílatele, jako je náborový pracovník.

“Hack obchodu s kryptoměnami, na rozdíl od maloobchodu, je v podstatě bankovní loupež rychlostí internetu a financuje severokorejské destabilizační aktivity a rozšíření jejich zbraňového arzenálu. Dokud budou úspěšní a ziskoví, nepřestanou,” řekl Ari Redbord, vedoucí právních záležitostí ve společnosti TRM Labs.

Podle Chainalysis zůstává Ethereum nejoblíbenější kryptoměnou ukradenou severokorejskými vládními skupinami zabývajícími se kyberzločinem, což představuje přibližně 60 % všech ukradených finančních prostředků. Pro porovnání, Bitcoin zahrnuje měně jako 25 % ukradených mincí.