В последние дни, по крайней мере три основателя компаний в секторе криптовалют сообщили о попытках мошенничества, связанных с подозреваемыми северокорейскими хакерами. Киберпреступники пытались похитить конфиденциальные данные через поддельные звонки в Zoom, используя сложную технику, которая эксплуатирует психологию жертв.
Summary
Новый метод хакеров из Северной Кореи: поддельные звонки Zoom с техническими проблемами
Ник Бакс, член группы этичных хакеров Security Alliance, сообщил о новом методе атаки в посте на X (бывший Twitter) 11 марта. По словам Бакса, эта стратегия уже привела к краже миллионов долларов мошенниками.
Модус операнди предусматривает контакт с жертвой через предложение встречи или сотрудничества. После начала видеозвонка злоумышленники отправляют сообщение, указывая на проблемы со звуком, в то время как на экране появляется заранее записанное видео псевдо-инвестора с скучающим видом. В этот момент жертве отправляется ссылка на новый звонок, объясняя, что это необходимо для решения технической проблемы.
Тем не менее, новая ссылка на самом деле является вредоносным ПО в маскировке, которое просит пользователя установить патч для восстановления правильной работы аудио/видео. Bax подчеркивает, как эта техника использует спешку и психологическое давление момента:
“Думаете, что встречаетесь с важными инвесторами и пытаетесь быстро решить проблему, ослабляя бдительность. Но как только устанавливаете патч, вы попались.”
Основатели криптокомпаний в прицеле северокорейских хакеров
После разоблачения Бакса несколько основателей компаний в секторе блокчейн рассказали о схожих опытах. Джулио Ксилояннис, соучредитель платформы для игр на основе блокчейн Mon Protocol, сообщил, что чуть не стал жертвой мошенничества. Согласно сообщениям, хакеры пытались обмануть его и руководителя отдела маркетинга с предложением о партнерстве. Однако Ксилояннис заподозрил обман, когда в последний момент его перенаправили на подозрительную ссылку, которая утверждала, что не может прочитать аудио, чтобы заставить его скачать опасный файл.
Еще один случай касается Дэвида Чжана, соучредителя Stably, стартапа, занимающегося стейблкоинами, поддерживаемыми американскими венчурными капиталами. Его также связали с мошенниками, которые изначально использовали его личную ссылку на Google Meet. Однако вскоре после этого, под предлогом внутренней встречи, его попросили подключиться к другому фальшивому видеозвонку.
Чжан, который ответил на звонок со своего планшета, считал, что вредоносное ПО хакеров было разработано преимущественно для настольных операционных систем, так как он не заметил очевидных аномалий на своем мобильном устройстве.
Еще одной жертвой попытки атаки стал Мелбин Томас, основатель децентрализованной платформы искусственного интеллекта Devdock AI, специализирующейся на проектах Web3. После того как он по ошибке начал установку зараженного файла, Томас смог заблокировать процесс вовремя, избежав ввода пароля. В качестве меры предосторожности он отключил ноутбук и восстановил устройство до заводских настроек, но остается сомнение, были ли скомпрометированы файлы, перенесенные на внешний жесткий диск.
Тревога Соединённых Штатов, Японии и Южной Кореи по поводу кибератак Северной Кореи
Эти эпизоды вписываются в более широкий контекст растущей киберугрозы со стороны северокорейских хакерских групп. 14 января США, Япония и Южная Корея выпустили совместное заявление, чтобы предупредить об опасности, представляемой киберпреступниками, связанными с Северной Кореей, с особым вниманием к сектору криптовалют.
Среди самых известных хакерских групп выделяется Lazarus Group, обвиняемая в причастности к некоторым из крупнейших краж в истории блокчейна. Группу подозревают в организации атак, таких как атака на Bybit, которая привела к похищению 1,4 миллиарда долларов, и атака на сеть Ronin, в результате которой было украдено 600 миллионов долларов.
После многочисленных атак хакеры из Lazarus переместили украденные средства через платформы микширования, инструменты, используемые для сокрытия происхождения криптовалют. Согласно CertiK, компании, специализирующейся на безопасности блокчейна, группа недавно внесла 400 Ethereum (ETH), на сумму около 750.000 долларов, в сервис микширования Tornado Cash.
Заключение: растущий риск для мира crypto
Эпизоды, о которых сообщают основатели компаний в секторе blockchain, подтверждают, что хакеры все больше совершенствуют свои техники, используя доверие и спешку жертв. Растущая частота этих атак побуждает экспертов по безопасности вновь подчеркнуть важность принятия профилактических мер, таких как проверка каждой ссылки перед тем, как на нее нажать, и избегание установки файлов из неизвестных источников.
С усилением активности таких групп, как Lazarus, мир криптовалют сталкивается с все более высоким риском, связанным с кибератаками. Сотрудничество между компаниями, экспертами по безопасности и правительствами будет фундаментальным для противодействия этим угрозам и защиты цифровых капиталов от все более изощренных краж.
