Η περιβόητη ομάδα Lazarus έκανε απόπειρα κυβερνοεπίθεσης, ισχυρίζεται ο συνιδρυτής της deBridge

Το «Lazarus Group», ένα διαβόητο συνδικάτο χάκερ που υποστηρίζεται από τη Βόρεια Κορέα, έχει αναγνωριστεί ως ο ένοχος μιας απόπειρας κυβερνοεπίθεσης στην deBridge Finance. Ο συνιδρυτής του πρωτοκόλλου cross-chain και επικεφαλής του έργου, Alex Smirnov, ισχυρίστηκε ότι ο φορέας επίθεσης ήταν μέσω email όπου πολλά μέλη της ομάδας έλαβαν ένα αρχείο PDF με το όνομα "New Salary Adjustments" από μια πλαστογραφημένη διεύθυνση που αντικατόπτριζε τη διεύθυνση του στελέχους.

Ενώ η deBridge Finance κατάφερε να αποτρέψει την επίθεση phishing, ο Smirnov προειδοποίησε ότι η δόλια εκστρατεία είναι πιθανόν ευρέως διαδεδομένη στοχεύοντας πλατφόρμες που εστιάζουν στο Web3.

Απόπειρα επίθεσης στο deBridge

Σύμφωνα με ένα μακρύ Twitter νήμα από το exec, τα περισσότερα μέλη της ομάδας επεσήμαναν αμέσως το ύποπτο email, αλλά ένα κατέβασε και άνοιξε το αρχείο. Αυτό τους βοήθησε να διερευνήσουν τον φορέα επίθεσης και να κατανοήσουν τις συνέπειές του.

Ο Smirnov εξήγησε περαιτέρω ότι οι χρήστες macOS είναι ασφαλείς, καθώς το άνοιγμα του συνδέσμου σε Mac θα οδηγούσε σε ένα αρχείο zip με το κανονικό αρχείο PDF Adjustments.pdf. Από την άλλη πλευρά, τα συστήματα Windows δεν είναι απρόσβλητα από τους κινδύνους. Αντίθετα, οι χρήστες των Windows θα κατευθύνονται σε ένα αρχείο με ένα αμφίβολο pdf που προστατεύεται με κωδικό πρόσβασης με το ίδιο όνομα και ένα πρόσθετο αρχείο με το όνομα Password.txt.lnk.

Το αρχείο κειμένου θα μολύνει ουσιαστικά το σύστημα. Ως εκ τούτου, η έλλειψη λογισμικού προστασίας από ιούς θα βοηθήσει το κακόβουλο αρχείο να διεισδύσει στο μηχάνημα και θα αποθηκευτεί στον φάκελο αυτόματης εκκίνησης, μετά από το οποίο ένα απλό σενάριο θα αρχίσει να στέλνει επαναλαμβανόμενα αιτήματα για επικοινωνία με τον εισβολέα προκειμένου να λάβει οδηγίες.

"Το διάνυσμα επίθεσης είναι το εξής: ο χρήστης ανοίγει έναν σύνδεσμο από το email -> λήψεις & ανοίγει το αρχείο -> προσπαθεί να ανοίξει το PDF, αλλά το PDF ζητά κωδικό πρόσβασης -> ο χρήστης ανοίγει το password.txt.lnk και μολύνει ολόκληρο το σύστημα."

Στη συνέχεια, ο συνιδρυτής προέτρεψε τις εταιρείες και τους υπαλλήλους τους να μην ανοίγουν ποτέ συνημμένα email χωρίς να επαληθεύσουν την πλήρη διεύθυνση email του αποστολέα και να έχουν ένα εσωτερικό πρωτόκολλο για το πώς οι ομάδες μοιράζονται τα συνημμένα.

"Παρακαλώ μείνετε στο SAFU και μοιραστείτε αυτό το νήμα για να ενημερώσετε όλους για πιθανές επιθέσεις."

Lazarus Attackers Targeting Crypto

Οι βορειοκορεατικές ομάδες χάκερ που χρηματοδοτούνται από το κράτος είναι διαβόητες για τη διεξαγωγή επιθέσεων με οικονομικά κίνητρα. Ο Lazarus, για ένα, πραγματοποίησε πολλές επιθέσεις υψηλού προφίλ σε ανταλλακτήρια κρυπτογράφησης, αγορές NFT και μεμονωμένους επενδυτές με σημαντικές συμμετοχές. Η τελευταία επίθεση φαίνεται να έχει σημαντική ομοιότητα με προηγούμενες που διεξήχθησαν από το συνδικάτο χάκερ.

Εν μέσω της επιδημίας COVID-19, τα εγκλήματα στον κυβερνοχώρο με επικεφαλής τον Λάζαρο πριόνι μια τεράστια ανοδική τάση. Πιο πρόσφατα, η ομάδα έκλεψε πάνω από 620 εκατομμύρια δολάρια από τη γέφυρα Ronin του Axie Infinity νωρίτερα φέτος.

Μάλιστα, αναφορές επίσης αποκαλύπτω ότι το κυβερνοπρόγραμμα της χώρας είναι μεγάλο και καλά οργανωμένο παρά το γεγονός ότι είναι οικονομικά απομονωμένη από τον υπόλοιπο κόσμο. Σύμφωνα με πολλές κυβερνητικές πηγές των ΗΠΑ, αυτές οι οντότητες έχουν επίσης προσαρμοστεί στο Web3 και επί του παρόντος στοχεύουν στον αποκεντρωμένο χρηματοοικονομικό χώρο.