Как блокчейн стал инструментом северокорейских хакеров для кражи криптовалюты

Цифровые активы под прицелом: технология распределенного реестра открывает новые векторы атак

Анонимность против прозрачности

Блокчейн создает парадокс — публичный реестр всех операций одновременно обеспечивает псевдоанонимность. Хакерские группы используют смешивающие сервисы и одноразовые кошельки, запутывая цифровой след. Цепочка транзакций остается видимой, но идентификация участников превращается в криптографический детектив.

Децентрализация как уязвимость

Отсутствие центрального регулятора означает отсутствие единой точки защиты. Смарт-контракты взламываются через reentrancy-атаки, биржи страдают от уязвимостей горячих кошельков. Финансовые власти бессильно наблюдают за跨境 транзакциями — их юрисдикция заканчивается там, где начинается децентрализованная сеть.

Инструменты отмывания эволюционируют

Cross-chain мосты стали излюбленным маршрутом для отмывания средств. Перевод между блокчейнами создает разрывы в аудите, а децентрализованные биржи принимают активы без KYC. Криптовалютные казино и NFT-маркетплейсы завершают цикл легализации — потому что в цифровой экономике искусство тоже может быть отмывочной машиной.

Технология, созданная для свободы, теперь финансирует ядерные программы — ирония, достойная уолл-стрит, но с гораздо более опасными последствиями.

Эволюция методов

Исследователи Cisco Talos выявили текущую кампанию северокорейской хакерской группировки Famous Chollima. Хакеры использовали два взаимодополняющих вредоносных ПО: BeaverTail и OtterCookie. Эти программы, которые традиционно применяют для кражи учетных записей и вывода данных, теперь могут больше. Мошенники интегрировали в них новые функции для более тесного взаимодействия с жертвой.

Недавно на Шри-Ланке произошел инцидент с одной организацией: злоумышленники обманом заставили соискателя установить вредоносную программу, выдав ее за часть технического задания при приеме на работу. Хотя сама компания не была целью атаки, аналитики Cisco Talos обнаружили, что вирус содержал модуль для записи нажатий клавиш и снимков экрана, связанный с вредоносом OtterCookie. Этот модуль незаметно фиксировал действия пользователя и автоматически отправлял собранные данные на удаленный сервер. Случай показывает, что поддельные вакансии могут быть опасны не только для компаний, но и для самих кандидатов.

Северокорейские хакеры делают акцент на техниках социальной инженерии для компрометации ничего не подозревающих целей. При этом их техники постоянно эволюционируют.

Блокчейн как командная инфраструктура для хакеров

Группа Google Threat Intelligence Group (GTIG) обнаружила операцию, проведенную северокорейской организацией UNC5342. Они использовали новое вредоносное ПО EtherHiding. Этот инструмент прячет вредоносные JavaScript-пакеты в публичном блокчейне, превращая его в децентрализованную сеть команд и управления (C2).

Благодаря блокчейну злоумышленники могут изменять поведение вредоносного ПО удаленно, без использования традиционных серверов, что затрудняет работу правоохранительных органов. GTIG также сообщила, что UNC5342 применяла EtherHiding в кампании социальной инженерии под названием Contagious Interview, ранее выявленной Palo Alto Networks.

Соискатели под прицелом

По данным исследователей Google, кибероперации часто начинаются с фальшивых объявлений о работе. Мошенники целятся на специалистов в области криптовалют и кибербезопасности. Жертв приглашают участвовать в поддельных тестовых заданиях, в ходе которых им предлагают скачать файлы с вредоносным кодом.

Заражение часто включает несколько видов вредоносного ПО, такого, как JadeSnow, BeaverTail и InvisibleFerret. Программы позволяют злоумышленникам получать доступ к системам, красть учетные данные и эффективно разворачивать программы-вымогатели. Цели варьируются от шпионажа и воровства денег до долгосрочного проникновения в сети.

Cisco и Google опубликовали индикаторы компрометации (IOC), чтобы помочь организациям обнаруживать и реагировать на киберугрозы из Северной Кореи. Эти ресурсы содержат технические детали для выявления вредоносной активности и предотвращения потенциальных нарушений. Исследователи предупреждают, что использование блокчейна и модульного вредоносного ПО, вероятно, продолжит усложнять глобальные усилия по обеспечению кибербезопасности.

Хотите стать частью большого и дружного сообщества BIC? Тогда подписывайтесь на нашу группу в «Телеграме» — там вас ждет общение с криптоэнтузиастами, помощь от наших экспертов и эксклюзивные комментарии опытных аналитиков.