Хакеры, предположительно работающие на правительство Северной Кореи, украли криптовалюту на сумму почти $400 млн у семи компаний в течение 2021 года. По словам специалистов из компании Chainalysis, 58% украденных средств составил Ether, а 20% — биткойн, сообщает SecurityLab.
Северокорейские хакеры отмыли и обналичили большую часть своих средств, используя миксеры криптовалюты и азиатские криптобиржи. Однако киберпреступникам не удалось обналичить все свои украденные средства. Исследователи также обнаружили криптовалюту на сумму более $170 млн, украденную с 49 криптовалютных бирж в период с 2017 по 2021 год, которую преступники не обналичили.
Chainalysis связала данные атаки с группировкой Lazarus — общим термином, который часто используется для описания нескольких северокорейских злоумышленников. Подразделение Lazarus, чаще всего связанное со взломом банков и криптовалют, представляет собой группу, отслеживаемую под названием BlueNoroff. Экспертам компании «Лаборатории Касперского» после нескольких лет расследования удалось связать BlueNoroff с многочисленными взломами криптовалютных компаний в России, Польше, Словении, Украине, Чехии, Китае, Индии, США, Гонконге, Сингапуре, ОАЭ и Вьетнаме.
В ходе вредоносной кампании под названием SnatchCrypto преступники отправляли вредоносные документы по электронной почте или через сообщения в соцсети LinkedIn лицам, работающим в криптовалютных компаниях. Как только жертва просматривала эти файлы и взаимодействовала с ними, на компьютерные системы устанавливался бэкдор, который позволял хакерам доступ к сети.
В ходе других кампаний использовались файлы LNK (ярлык Windows), но конечный результат был таким же — BlueNoroff получала доступ к устройству жертвы.
«В некоторых случаях злоумышленники тщательно следили за пользователем в течение нескольких недель или месяцев. Они собирали данные нажатия клавиш и отслеживали ежедневные действия пользователя, планируя стратегию финансовой кражи», — сказали в «Лаборатории Касперского».
В отдельных случаях хакеры BlueNoroff разработали вредоносную версию официального расширения Metamask Chrome, которое локально устанавливалось на устройстве жертвы и заменяло исходное. Расширение фиксировало, когда жертва инициирует транзакцию, а затем перехватывала данные и отправляла большую часть средств на счет BlueNoroff.
Нажимая на кнопку, я даю Согласие на обработку персональных данных в соответствии с Политикой обработки.