Спецпроекты

Безопасность Бизнес ИТ в госсекторе

Хакеры из Северной Кореи за три года обокрали криптобиржи на сотни миллионов долларов

У группировки Lazarus, по-видимому, есть спецподразделение, которое занимается кражей средств из кошельков криптобирж по всему миру. Сейчас оно интенсивно занимается израильскими биржами.

Ущерб на 200 с лишним миллионов

Северокорейские хакеры за последние три года обобрали криптобиржи США, Израиля, Европы и Японии на сотни миллионов долларов. Организация под условным наименованием CryptoCore, стоящая за этими операциями, тесно связана с кибергруппировкой Lazarus, которая считается детищем северокорейских спецслужб.

Еще в 2020 г. деятельность CryptoCore была описана экспертами компании ClearSky. В исследовании говорилось, что атаки начались в 2018 г., и что мотивация этой группировка имела сугубо финансовый характер. Большая часть атак была направлена на онлайн-кошельки криптобирж или их отдельных работников. Атаки всегда начинались со спиэр-фишинга.

К 2020 г. CryptoCore нанесла ущерба на сумму более $200 млн. По мнению экспертов ClearSky, группировка могла иметь восточно-европейское происхождение. Однако расследования других компаний эти данные скорректировали.

Поющие Лазаря

Исследователи компании F-Secure, например, сразу указали на то, что вредоносные программы, используемые CryptoCore, очень напоминают те, которыми пользуется Lazarus.

haker2600.jpg
Похитителей средств криптобирж связали с хакерами из Северной Кореи

В своем новом исследовании эксперты ClearSky проанализировали исследования сразу нескольких других фирм: NTTSecurity, JPCERT/CC, ESET и «Лаборатории Касперского». Оказалось, что правила YARA для RAT-троянцев CryptoCore, установленные экспертами F-Secure, при минимальных изменениях срабатывают и против RAT-троянцев Lazarus, описанных в более ранних исследованиях «Лаборатории Касперского» и ESET. Кроме того, удалось выявить сходство в коде и в поведении вредоносов Lazarus и CryptoCore и подтвердить наличие 40 общих индикаторов компрометации.

В итоге в ClearSky берутся «со средневысокой уверенностью» утверждать, что за CryptoCore и Lazarus стоят одни и те же люди.

Сейчас CryptoCore активно пытается атаковать криптобиржи Израиля. Скорее всего, как пишет Bleeping Computer, им не важно, где эти биржи располагаются, имеют значение только их обороты и степень защищенности.

«То, что северокорейские акторы атакуют криптобиржи и организации финансового сектора, не является большой новостью, — указывает Анастасия Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Еще в прошлом году фирмы Groub-IB и Sansec обратили внимание на атаки Lazarus, нацеленные на торговые площадки, отмечая, что злоумышленников уже интересуют не только данные платежных карт, но и криптовалюты. Вероятно, CryptoCore — это просто специализированное подразделение Lazarus, занимающееся кражей криптовалютных активов».

Роман Георгиев

Короткая ссылка