Noord-Koreaanse hackers achter DeBridge Finance Attack: mede-oprichter

Alex Smirnov, mede-oprichter en projectleider bij DeBridge Finance, meldde vrijdag op Twitter dat zijn bedrijf het doelwit was van een poging tot cyberaanval door de beruchte Noord-Koreaanse Lazarus Group.

DeBridge biedt een cross-chain interoperabiliteit en liquiditeitsprotocol voor de overdracht van gegevens en activa tussen blockchains.

De aanval kwam via een vervalste e-mail die werd ontvangen door verschillende DeBridge-teamleden en die een pdf-bestand met de naam "Nieuwe salarisaanpassingen" bevatte, dat van Smirnov leek te komen.

E-mailspoofing is een vorm van aanval waarbij een kwaadaardige e-mail wordt gemanipuleerd alsof deze afkomstig is van een vertrouwde bron, in dit geval van de medeoprichter van het bedrijf.

"We hebben een strikt intern beveiligingsbeleid en werken er voortdurend aan om dit te verbeteren en het team voor te lichten over mogelijke aanvalsvectoren", schreef Smirnov.

Toch, legde Smirnov uit, downloadde en opende één persoon het bestand, wat een aanval op de interne systemen van het bedrijf veroorzaakte. Dit leidde tot een onderzoek naar de oorsprong van de aanval, hoe de hackers de aanval wilden laten werken en de mogelijke gevolgen.

"Snelle analyse toonde aan dat ontvangen code VEEL informatie over de pc verzamelt en deze exporteert naar [het commandocentrum van de aanvaller]: gebruikersnaam, OS-info, CPU-info, netwerkadapters en lopende processen," zei Smirnov.

Smirnov vergeleek wat DeBridge zag met een andere Twitter-post van een andere gebruiker die vergelijkbare kenmerken vertoonde en wees op de Noord-Koreaanse hackergroep.

Smirnov waarschuwde zijn volgers om nooit e-mailbijlagen te openen zonder het volledige e-mailadres van de afzender te verifiëren en om een ​​intern protocol te hebben voor hoe hun team bijlagen deelt.

De Lazarus Group heeft naar verluidt achter verschillende spraakmakende crypto-hacks gezeten, waaronder de $ 622 miljoen Axie Oneindigheid Ronin Ethereum sidechain hack in maart en de Harmony Horizon-brug hacken in juni.

"Dit soort aanvallen komen vrij vaak voor", merkt David Schwed op, chief operating officer van blockchain-beveiligingsbedrijf Halborn. “Ze vertrouwen op het leergierige karakter van mensen door de bestanden een naam te geven die hun interesse zou wekken, zoals salarisgegevens.

"We zien steeds meer van dit soort aanvallen die specifiek gericht zijn op blockchain-bedrijven, gezien de verhoogde inzet vanwege de onveranderlijkheid van blockchain-transacties", voegde Schwed eraan toe.