Nordkoreanische Hacker hinter DeBridge Finance-Angriff: Mitbegründer

Alex Smirnov, Mitbegründer und Projektleiter bei DeBridge Finance, meldete am Freitag auf Twitter, dass sein Unternehmen das Ziel eines versuchten Cyberangriffs der berüchtigten nordkoreanischen Lazarus Group war.

DeBridge bietet ein kettenübergreifendes Interoperabilitäts- und Liquiditätsprotokoll für die Übertragung von Daten und Vermögenswerten zwischen Blockchains.

Der Angriff erfolgte über eine gefälschte E-Mail, die mehrere Mitglieder des DeBridge-Teams erhielten und die eine PDF-Datei mit dem Namen „Neue Gehaltsanpassungen“ enthielt, die anscheinend von Smirnov stammte.

E-Mail-Spoofing ist eine Form des Angriffs, bei der eine bösartige E-Mail so manipuliert wird, dass es so aussieht, als stamme sie von einer vertrauenswürdigen Quelle, in diesem Fall vom Mitbegründer des Unternehmens.

„Wir haben strenge interne Sicherheitsrichtlinien und arbeiten kontinuierlich daran, sie zu verbessern und das Team über mögliche Angriffsvektoren aufzuklären“, schrieb Smirnov.

Trotzdem, so Smirnov, habe eine Person die Datei heruntergeladen und geöffnet, was einen Angriff auf die internen Systeme der Firma ausgelöst habe. Dies führte zu einer Untersuchung des Ursprungs des Angriffs, wie die Hacker den Angriff beabsichtigten und möglicher Folgen.

„Eine schnelle Analyse zeigte, dass der empfangene Code VIELE Informationen über den PC sammelt und an [die Kommandozentrale des Angreifers] exportiert: Benutzername, Betriebssysteminformationen, CPU-Informationen, Netzwerkadapter und laufende Prozesse“, sagte Smirnov.

Smirnov verglich das, was DeBridge sah, mit einem anderen Twitter-Post eines anderen Benutzers, der ähnliche Merkmale aufwies und auf die nordkoreanische Hackergruppe hinwies.

Smirnov warnte seine Anhänger, niemals E-Mail-Anhänge zu öffnen, ohne die vollständige E-Mail-Adresse des Absenders zu überprüfen, und ein internes Protokoll dafür zu haben, wie ihr Team Anhänge teilt.

Die Lazarus-Gruppe steht angeblich hinter mehreren hochkarätigen Krypto-Hacks, darunter die 622 Millionen Dollar Axie Infinity Ronin Ethereum Sidechain-Hack im März und der Harmonie-Horizont-Brücke Hack im Juni.

„Diese Arten von Angriffen sind ziemlich häufig“, bemerkt David Schwed, Chief Operating Officer der Blockchain-Sicherheitsfirma Halbborn. „Sie verlassen sich auf die Neugierde der Menschen, indem sie den Dateien Namen geben, die ihr Interesse wecken würden, wie z. B. Gehaltsinformationen.

„Wir sehen immer mehr dieser Arten von Angriffen, die speziell auf Blockchain-Unternehmen abzielen, da aufgrund der Unveränderlichkeit von Blockchain-Transaktionen mehr auf dem Spiel steht“, fügte Schwed hinzu.