ФБР предупреждает криптовалютные компании об агрессивных атаках с использованием социальной инженерии

Сегодня ФБР предупредило о том, что северокорейские хакерские группы агрессивно атакуют криптовалютные компании и их сотрудников с помощью сложных социально-инженерных атак с целью внедрения вредоносного ПО, предназначенного для кражи их криптоактивов.

По данным ФБР, их тактика социальной инженерии очень целенаправленна, и ее трудно обнаружить даже тем, кто обладает передовым опытом в области кибербезопасности.

За последние несколько месяцев северокорейские угрожающие субъекты были замечены в проведении обширного исследования потенциальных целей, сосредоточившись на лицах, связанных с криптовалютными биржевыми фондами (ETF) и другими сопутствующими финансовыми продуктами. Такой уровень предоперационной подготовки позволяет предположить, что они готовятся к потенциальным атакам на компании, связанные с криптовалютными ETF и подобными активами.

Правоохранительные органы также предупредили, что организации, работающие со значительными объемами криптовалюты, также подвергаются риску стать мишенью северокорейских хакерских групп, стремящихся взломать сети и похитить средства.

Среди тактик социальной инженерии, которые используют эти спонсируемые государством группы, ФБР выделяет тщательно спланированные атаки, которые начинаются с выявления конкретных DeFi и криптовалютных компаний, на которые они нацелены. На следующем этапе атаки они атакуют их сотрудников с помощью социальной инженерии, часто предлагая новую работу или инвестиционные возможности, используя подробную личную информацию для повышения доверия и привлекательности.

«Действующие лица обычно общаются с жертвами на свободном или почти свободном английском языке и хорошо разбираются в технических аспектах криптовалютной сферы», - предупреждает ФБР.

«Северокорейские злоумышленники регулярно выдают себя за различных людей, включая контакты, которые жертва может знать лично или косвенно. В качестве пародий могут выступать рекрутеры на сайтах профессиональных сетей или известные люди, связанные с определенными технологиями».

Злоумышленники хорошо разбираются в технических аспектах криптовалютной индустрии, а также используют украденные изображения и профессионально созданные веб-сайты, чтобы их схемы выглядели законными на первый взгляд.

ФБР также представило список потенциальных индикаторов северокорейской социальной инженерии и лучшие практики, которым должны следовать компании криптовалютной индустрии и их сотрудники, чтобы снизить риск компрометации при таких атаках.

С начала года ФБР также предупредило о мошенниках, выдающих себя за сотрудников криптовалютных бирж и нацеленных на ничего не подозревающих жертв, и о киберпреступниках, выдающих себя за юридические фирмы, предлагающие услуги по возврату криптовалюты.

Они также предупредили о поддельных объявлениях об удаленной работе, используемых для кражи криптовалюты, и о недопустимости использования нелицензированных сервисов перевода криптовалюты, которые могут привести к финансовым потерям, если правоохранительные органы заблокируют эти платформы.

С 2017 года похищено криптовалюты на миллиарды

Как выяснили аналитики Recorded Future в декабре, поддерживаемые Северной Кореей государственные хакерские группировки, такие как Kimsuky, Lazarus Group, Andariel и другие, похитили криптовалюты на сумму около $3 млрд в ходе длинной череды взломов, направленных на криптоиндустрию, начиная с 2017 года.

«Только в 2022 году северокорейские угрожающие субъекты были обвинены в краже криптовалюты на сумму $1,7 млрд, что эквивалентно 5% экономики страны или 45% ее военного бюджета», - заявили в Recorded Future.

После кражи $82,7 млн с южнокорейских бирж Bithumb, Youbit и Yapizon в 2017 году северокорейские хакеры были связаны со многими другими криптовалютными кражами, включая кражи с блокчейн-моста Harmony (потери $100 млн), моста Nomad (потери $190 млн), моста Qubit Finance (потери $80 млн), Atomic Wallet ($35 млн), AlphaPo ($60 млн в двух отдельных атаках) и CoinsPaid ($37 млн).

ФБР также связало взлом сетевого моста Ronin компании Axie Infinity - крупнейший в истории криптовалют взлом, в результате которого было похищено 620 миллионов долларов, - с северокорейскими хакерскими группами Lazarus и BlueNorOff (они же APT38).