Kurikuulus Lazaruse rühmitus üritas küberrünnakut, väidab deBridge'i kaasasutaja

Põhja-Korea toetatud kurikuulus häkkimissündikaat "Lazarus Group" on tunnistatud deBridge Finance'i küberrünnaku katse süüdlaseks. Ketiülese protokolli kaasasutaja ja projekti juht Alex Smirnov väitis, et ründevektor oli meili teel, kus mitmed meeskonnaliikmed said võltsitud aadressilt PDF-faili nimega "Uued palgakohandused", mis peegeldas täitja oma.

Kuigi deBridge Finance'il õnnestus andmepüügi rünnak nurjata, hoiatas Smirnov, et petturlik kampaania on tõenäoliselt laialt levinud ja sihib Web3-le keskendunud platvorme.

Katse rünnata deBridge'i

Pika Twitteri järgi niit täitja poolt märkis enamik meeskonnaliikmeid kahtlase meili kohe märgiks, kuid üks laadis faili alla ja avas. See aitas neil uurida rünnakuvektorit ja mõista selle tagajärgi.

Lisaks selgitas Smirnov, et macOS-i kasutajad on turvalised, kuna lingi avamine Macis viib tavalise PDF-failiga Adjustments.pdf zip-arhiivi. Teisest küljest pole Windowsi süsteemid ohtude suhtes immuunsed. Selle asemel suunatakse Windowsi kasutajad arhiivi, kus on sama nimega kahtlane parooliga kaitstud pdf ja lisafail nimega Password.txt.lnk.

Tekstifail nakatab sisuliselt süsteemi. Sellisena aitab viirusetõrjetarkvara puudumine pahatahtlikul failil masinasse tungida ja see salvestatakse automaatse käivitamise kausta, mille järel hakkab lihtne skript saatma korduvaid taotlusi ründajaga suhtlemiseks juhiste saamiseks.

"Ründevektor on järgmine: kasutaja avab meilist lingi -> laadib alla ja avab arhiivi -> proovib avada PDF-i, kuid PDF küsib parooli -> kasutaja avab password.txt.lnk ja nakatab kogu süsteemi."

Seejärel kutsus kaasasutaja ettevõtteid ja nende töötajaid üles mitte kunagi avama meilimanuseid ilma saatja täielikku e-posti aadressi kontrollimata ja omama sisemist protokolli, kuidas meeskonnad manuseid jagavad.

"Palun jääge SAFU-ks ja jagage seda lõime, et anda kõigile teada võimalikest rünnakutest."

Lazaruse ründajad, kes sihivad krüpto

Riigi toetatud Põhja-Korea häkkimisrühmitused on kurikuulsad rahaliselt motiveeritud rünnakute korraldamise poolest. Lazarus korraldas näiteks palju kõrgetasemelisi rünnakuid krüptobörside, NFT-turgude ja märkimisväärse osalusega üksikinvestorite vastu. Viimasel rünnakul näib olevat märkimisväärne sarnasus eelmiste häkkimissündikaadi korraldatud rünnakutega.

COVID-19 puhangu keskel küberkuriteod, mida juhtis Lazarus nägin tohutu tõusutrend. Hiljuti varastas grupp selle aasta alguses Axie Infinity Ronini sillalt üle 620 miljoni dollari.

Tegelikult ka aruanded avalduma et riigi küberprogramm on suur ja hästi korraldatud vaatamata sellele, et see on muust maailmast majanduslikult isoleeritud. Vastavalt mitmele USA valitsuse allikale on need üksused kohanenud ka Web3-ga ja sihivad praegu detsentraliseeritud finantsruumi.