Эксперты связали атаки на криптобиржи с северокорейской APT Lazarus

Эксперты связали атаки на криптобиржи с северокорейской APT Lazarus

Ранее исследователи предполагали причастность к кампании CryptoCore русскоязычных или восточноевропейских хакеров.

Длительная масштабная кампания, направленная на криптовалютные биржи по всему миру, может быть делом рук хакерской группировки Lazarus, которую эксперты связывают с правительством КНДР. К такому выводу пришли специалисты израильской ИБ-компании ClearSky, проанализировав наработки ряда специализирующихся на кибербезопасности компаний и организаций, изучивших похожие атаки.

В прошлом году ClearSky опубликовала отчет о вредоносной кампании под названием CryptoCore (она же Dangerous Password и Leery Turtle), целью которой были криптовалютные кошельки, принадлежащие криптобиржам или их сотрудникам. Начало кампании датируется 2018 годом, и за последующие три года преступникам удалось похитить миллионы долларов в криптовалюте у криптовалютных бирж в США, Израиле, Европе и Японии. Убытки от этих атак оцениваются в $200 млн.

На тот момент эксперты полагали, что виновником атак может быть русскоязычная группировка либо хакерская группа из Восточной Европы, однако отчеты ряда организаций, в частности F-Secure , Japanese CERT JPCERT/CC и NTT Security , выпущенные в последние несколько месяцев, позволяют предположить причастность к кампании Lazarus.

Специалисты ClearSky проанализировали индикаторы компрометации, представленные в докладах вышеозначенных организаций, и выявили ряд совпадений на уровне кода и в тактиках, техниках и процедурах, использованных в атаках CryptoCore. Все это позволяет предположить, что компании анализировали различные аспекты одной и той же масштабной операции.

О причастности Lazarus также свидетельствуют использованные в CryptoCore вредоносные инструменты, в частности троян для удаленного доступа под названием ntuser.cat, которые ранее были обнаружены в других атаках северокорейской группировки. С более подробной технической информацией можно ознакомиться в отчете ClearSky.



В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!