Переслати оригінальний заголовок «Парадигма: розкриття загрози від північнокорейської хакерської групи Лазарус Груп»

Обговорення групи Лазарус—винуватця за взлом Bybit—з погляду організаційної структури, методів атаки та стратегій захисту.

Одного лютневого ранку в чаті групи SEAL 911 загорілися світла. Ми дивом дивилися, як Bybit перемістив понад $1 мільярда токенів зі свого холодного гаманця на зовсім нову адресу, а потім швидко почав ліквідовувати понад $200 мільйонів в LST. Протягом кількох хвилин, через спілкування з командою Bybit та незалежний аналіз (за участю багатоадресності та раніше підтвердженої реалізації Safe Wallet, яку тепер замінили новим розгорнутим і непідтвердженим контрактом), ми підтвердили, що це не було рутиноютеча. Хтось тільки що запустив один з найбільших хаків в історії криптовалют—і ми сиділи в перших рядах.

Поки частина команди (разом з більшою розслідувальною спільнотою) почала відстежувати кошти та повідомляти партнерські біржі, інші намагалися з'ясувати, що саме сталося, і чи знаходяться під загрозою додаткові кошти. На щастя, виявити злочинця було легко. За останні кілька років відомо лише про одного загрозливого фігуранта, який успішно вкрав мільярди з бірж криптовалют: Північна Корея, також відома як Північна Корея.

Однак, поза цим, у нас мало було підстав для розслідування. Завдяки хитрій природі та винятковим навичкам замаскування північнокорейських хакерів, встановлення кореневої причини порушення — не кажучи вже про те, яка саме команда всередині Північної Кореї була відповідальною — було надзвичайно важко. Все, що ми мали, було наявні розвідувальні дані, що вказували на те, що оператори КНДР часто використовують тактику соціальної інженерії для інфільтрації криптовалютних бірж. На основі цього ми припустили, що вони скористалися підписантами мультіпідпису Bybit та розгорнули шкідливе програмне забезпечення для перешкоджання процесу підписання.

Як виявилося, це припущення було абсолютно невірним. Через кілька днів ми виявили, що Північна Корея фактично скомпрометувала інфраструктуру самого Safe Wallet і розгорнула спеціалізоване зловмисне перевантаження, спрямоване на Bybit. Складність цього нападу перевищувала будь-які очікування або підготовку — створюючи серйозні виклики для багатьох існуючих моделей безпеки на ринку.

Північнокорейські хакери становлять зростаючу загрозу для нашої галузі. Ми не можемо перемогти ворога, якого не розуміємо. Хоча існує багато задокументованих випадків і статей про кібероперації Північної Кореї, важко об'єднати їх всі разом. Сподіваюся, цей огляд допоможе нам краще уявити, як Північна Корея діє, їх стратегії та процедури, і в кінцевому підсумку допоможе нам впровадити відповідні заходи мітігації.

Організаційна структура

Однією з найбільших помилкових уявлень, які потрібно вирішити, є класифікація та найменування обширних кіберактивностей Північної Кореї. Хоча вважати прийнятним використання терміну «Група Лазаруса» у розмовній мові як загальний підпис, точніша термінологія корисна при обговоренні системної кіберзагрози, яку становить Північна Корея, детально.

Спочатку важливо зрозуміти "організаційну структуру" Північної Кореї. У верхівці знаходиться правляча - і єдина - політична партія, Партія праці Кореї (ППК), яка наглядає за всіма державними установами. До них входять Корейська Народна Армія (КНА) та Центральний Комітет. У КНА є Головний Штаб (ГШ), де розташоване Головне Розвідувальне Управління (ГРУ). Під Центральним Комітетом знаходиться Відділ Збройної Промисловості (ВЗП).

RGB відповідає практично за всі кібероперації Північної Кореї, включаючи майже всю діяльність, спостережену в криптоіндустрії. Крім відомої групи Лазарус, інші загрозові актори, які виникають від RGB, включають AppleJeus, APT38, DangerousPassword та TraderTraitor. З іншого боку, МД відповідає за ядерну ракетну програму Північної Кореї та є основним джерелом зарубіжних ІТ-робітників країни. Розвідувальна спільнота ідентифікує цих акторів як Заразне Інтерв'ю та Wagemole.

Група Лазарус

Група Лазарус - це високорівнева хакерська організація. Фахівці з кібербезпеки вважають, що деякі з найбільших та найбільш руйнівних кібератак в історії були здійснені цією групою. У 2016 році компанія Novetta виявила групу Лазарус під час аналізу взлому компанії Sony Pictures Entertainment.

У 2014 році Sony виробляла бойовик-комедію Інтерв'ю, головний сюжет якої передбачав упокорення та нарешті асасинацію Кім Чен Іна. Зрозуміло, що це не було прийнятно КНДР, яка відповіла на це, взламавши мережу Sony, викравши кілька терабайтів даних, витікши кілька сотень гігабайт конфіденційної чи чутливої інформації та видаливши оригінали. Як тодішній генеральний директор Майкл Лінтон сказав: «Люди, які це зробили, не просто вкрали все в будинку - вони спалили будинок». Sony в кінці кінців витратила принаймні 15 мільйонів доларів на розслідування та ліквідацію, пов'язані з атакою, і реальні збитки можуть бути ще вищими.

У 2016 році хакерське угруповання, що має разючу схожість з Lazarus Group, проникло в банк Бангладеш, намагаючись вкрасти майже 1 мільярд доларів. Протягом року хакери проводили атаки соціальної інженерії на співробітників банку, в кінцевому підсумку отримавши віддалений доступ і переміщаючись по мережі, поки не досягли комп'ютера, який взаємодіяв з системою SWIFT. Звідти вони чекали ідеальної нагоди: Бангладеш відзначає свої вихідні в четвер, а Федеральна резервна система Нью-Йорка бере вихідний у п'ятницю. У четвер увечері за місцевим часом зловмисники використали свій доступ SWIFT, щоб надіслати 36 окремих запитів на переказ до ФРС Нью-Йорка — рано вранці в п'ятницю за місцевим часом. Протягом наступних 24 годин ФРС пересилала перекази до Rizal Commercial Banking Corporation (RCBC) на Філіппінах, яка почала їх обробляти. На той час, коли банк Бангладеш знову відкрився, він виявив порушення і спробував зв'язатися з RCBC, щоб зупинити транзакції, але виявив, що банк закрився на свято Нового року за місячним календарем.

Тоді, в 2017 році, широкомасштабний кібератака вірусу-вимагача WannaCry 2.0 спустошив галузі по всьому світу, частково приписуючи це групі Лазарус. Оцінюється, що він спричинив збитки на мільярди доларів, WannaCry використовував уразливість Microsoft Windows zero-day, спочатку розроблену Національним агентством з безпеки. Він шифрував локальні машини та розповсюджувався через доступні пристрої, остаточно заражаючи сотні тисяч систем по всьому світу. На щастя, дослідник з безпеки Маркус Хатчінс виявив та запустив вимикач за вісім годин, обмежуючи масштаб збитків.

Протягом своєї історії група Лазарус продемонструвала вражаючу технічну компетентність та операційну ефективність. Одним із їх ключових завдань є генерація доходів для режиму Північної Кореї. Це було лише питанням часу, перш ніж вони звернули увагу на криптовалютну індустрію.

Відгалуження Лазаруса та розвиваючі загрози

З часом, коли Група Лазарус стала загальноприйнятним терміном, який часто використовується ЗМІ для опису кіберактивності Північної Кореї, кібербезпекова галузь почала розробляти більш точні назви для Групи Лазарус та конкретних операцій, пов'язаних з Північною Кореєю. APT38 - один з таких прикладів. Близько 2016 року він відокремився від Групи Лазарус, щоб зосередитися на фінансових злочинах - спочатку націлені на банки (такі як Бангладеський банк), а пізніше - на криптовалюту. У 2018 році була виявлена нова загроза, відома як AppleJeus, яка поширювала шкідливе програмне забезпечення, націлене на користувачів криптовалюти. Також у 2018 році, коли OFAC вперше оголосив про санкції проти двох фронтових компаній, які використовувалися північнокорейцями, вже було очевидно, що північнокорейські оперативники, видаючись інформаційними технологами, проникли в галузь технологій.

Працівники з ІТ Північної Кореї

Хоча найстаріше згадання про Північнокорейських ІТ-спеціалістів походить з санкцій OFAC 2018 року, звіт Unit 42 2023 року надав більш детальний опис та ідентифікував два відмінні загрози: Contagious Interview та Wagemole.

Контагійне співбесіда відоме тим, що вони видають себе за рекрутерів відомих компаній, щоб заманити розробників у фіктивні процеси співбесіди. Майбутні кандидати інструктовані клонувати репозиторій для локального налагодження - це упаковано як частина виклику на кодування - але репозиторій містить задній прохід. Виконання коду дає зловмисникам контроль над пошкодженою машиною. Ця діяльність триває, і найновіший інцидент зафіксовано 11 серпня 2024 року.

Wagemole, з іншого боку, не приманює жертв - їх наймають справжні компанії, вбираючись в звичайних інженерів, хоча часто менш продуктивних. Тим не менш, є документовані випадки використання працівниками ІТ свого доступу для злоумисних цілей. У випадку Munchables співробітник, пов'язаний з операціями Північної Кореї, використовував привілейований доступ до смарт-контрактів і крав усі активи.

Рівень високої кваліфікації серед агентів Wagemole значно відрізняється. Деякі використовують загальні шаблони резюме і відмовляються від відеовикликів, тоді як інші надають індивідуалізовані резюме, беруть участь в deepfake відеоінтерв'ю та надають фальшиві ID, такі як посвідчення водія та комунальні рахунки. У деяких випадках агенти залишалися всередині організацій-жертв протягом до року, перш ніж використовувати свій доступ для інфільтрації інших систем та/або повністю вивести гроші.

AppleJeus

AppleJeus в основному спеціалізується на поширенні шкідливих програм і вміло виконує складні атаки на ланцюжок постачання. У 2023 році атака на ланцюжок постачання 3CX дозволила загрозам потенційно інфікувати понад 12 мільйонів користувачів програмного забезпечення 3CX VoIP. Пізніше було виявлено, що сам 3CX був підданий атакам на ланцюжок постачання у одного з його постачальників — Trading Technologies 13.

У криптовалютній галузі AppleJeus спочатку поширював шкідливе програмне забезпечення, приховане під легітимне програмне забезпечення, таке як торгові платформи чи криптовалютні гаманці. Однак з часом їх тактика еволюціонувала. У жовтні 2024 року Radiant Capital було скомпрометовано загрозою, яка видає себе за довіреного підрядника, який поширював шкідливе програмне забезпечення через Telegram. Mandiant приписав цей напад AppleJeus.

Небезпечний пароль

Небезпечний Пароль відповідає за атаки соціального інженерінгу низької складності, спрямовані на криптовалютну індустрію. Ще у 2019 році JPCERT/CC зафіксував, що Небезпечний Пароль надсилає рибальські листи з привабливими вкладеннями для завантаження користувачам. Останнім часом Небезпечний Пароль видає себе за відомих осіб у криптопросторі, щоб відправляти рибальські листи з темами, такими як «Великі Ризики у Стейблкоїни та Криптовалютні Активи».

Сьогодні Небезпечний Пароль продовжує відправляти шахрайські листи, але розширив свою діяльність на інші платформи. Наприклад, Radiant Capital повідомив про отримання шахрайського повідомлення через Telegram від когось, хто видається дослідником з питань безпеки. У повідомленні був вкладений файл під назвою "Penpie_Hacking_Analysis_Report.zip". Крім того, користувачі повідомили, що їх зв'язували із людьми, які видають себе за журналістів або інвесторів, які пропонують запланувати дзвінок за допомогою невідомих додатків для відеоконференцій. Подібно до Zoom, ці додатки підбадьорюють користувачів завантажити одноразовий встановлювач, але при виконанні вони встановлюють шкідливе ПЗ на пристрої користувача.

ТрейдерТраєр

TraderTraitor є найскладнішою північнокорейською хакерською групою, націленою на криптовалютну індустрію, і її пов'язують з атаками на такі платформи, як Axie, Infinity та Rain.com. TraderTraitor майже виключно націлений на біржі та компанії з великими резервами і не використовує уразливості нульового дня. Замість цього він використовує дуже складні методи цільового фішингу, щоб скомпрометувати своїх жертв. Під час злому Axie Infinity TraderTraitor зв'язався зі старшим інженером через LinkedIn і успішно переконав їх пройти серію співбесід, зрештою надіславши «пропозицію про роботу», яка забезпечила корисне навантаження шкідливого програмного забезпечення. Під час атаки WazirX оперативники TraderTraitor скомпрометували неідентифікований компонент у конвеєрі підписання транзакцій. Потім вони спустошили гарячий гаманець біржі, неодноразово вносячи та виводячи кошти, що спонукало інженерів відновити баланс із холодного гаманця. Коли інженери WazirX спробували підписати транзакцію для переказу коштів, їх обманом змусили авторизувати транзакцію, яка передала контроль над холодним гаманцем TraderTraitor. Це дуже схоже на атаку на Bybit у лютому 2025 року, під час якої TraderTraitor спочатку скомпрометував інфраструктуру Safe{Wallet} за допомогою соціальної інженерії, а потім розгорнув шкідливий JavaScript у фронтенді Safe Wallet, який використовується холодним гаманцем Bybit. Коли Bybit спробував відновити баланс свого гаманця, спрацював шкідливий код, через що інженери Bybit несвідомо підписали транзакцію, яка передавала контроль над холодним гаманцем TraderTraitor.

Залишайтеся в безпеці

Північна Корея продемонструвала здатність використовувати вразливості нульового дня проти противників, але наразі немає жодних зафіксованих або відомих випадків використання нульових днів проти криптовалютної індустрії. Тому стандартні поради з безпеки застосовуються майже до всіх загроз, які створюються хакерами з Північної Кореї.

Для фізичних осіб здоровий глузд та бджільність проти соціальної інженерії важливі. Наприклад, якщо хтось стверджує, що володіє вельми конфіденційною інформацією та пропонує її поділитися з вами, дійте обережно. Або, якщо хтось намагається створити часовий тиск і закликає вас завантажити та запустити програмне забезпечення, подумайте, чи вони намагаються завадити вам мислити раціонально.

Для організацій застосовуйте принцип мінімальних привілеїв усюди, де це можливо. Мінімізуйте кількість людей, які мають доступ до чутливих систем, і переконайтеся, що вони використовують менеджери паролів та двофакторну автентифікацію (2FA). Розділяйте особисті та робочі пристрої і встановлюйте інструменти керування мобільними пристроями (MDM) та виявлення та реагування на загрози на робочих машинах, щоб забезпечити як попередню безпеку, так і видимість після порушення безпеки.

Нажаль, для великих бірж або інших об'єктів великої вартості, TraderTraitor все ще може завдати більше шкоди, ніж очікувалося, навіть не використовуючи нуль-дні. Тому необхідно прийняти додаткові заходи безпеки, щоб усунути одинокі точки відмови, щоб одне порушення не призвело до повної фінансової втрати.

Навіть якщо все зазнає невдачі, є надія. У ФБР є спеціалізована команда, яка відстежує та запобігає вторгненням з боку Північної Кореї і активно сповіщає потенційних жертв уже кілька років. Недавно мені дуже приємно було допомогти цій команді у встановленні зв'язку з потенційними цілями з Північної Кореї. Так що, щоб підготуватися до гіршого, переконайтеся, що у вас є загальнодоступна контактна інформація або міцні відносини в екосистемі (наприклад, SEAL 911), щоб критичні сповіщення могли якнайшвидше досягти вас через соціальний графік.

Відмова від відповідальності:

1. Ця стаття розміщена з [ ForesightNews]. Перешлите оригінальний заголовок 'Парадигма: Розкриття загрози групи північнокорейських хакерів Лазарус'. Усі авторські права належать оригінальному автору [samczsun, Дослідний партнер в Paradigm]. Якщо є які-небудь зауваження до цього повторного видання, будь ласка, зв'яжіться зGate Learnкоманда, і вони оперативно вирішать це відповідно до відповідних процедур.

2. Відмова: Погляди та думки, висловлені в цій статті, представляють лише особисті погляди автора і не становлять жодної інвестиційної поради.

3. Переклади статті на інші мови виконуються командою Gate Learn. Без згадуванняGate.io, заборонено копіювати, поширювати або плагіатувати перекладені версії.