Zerion сообщил, что крипто-взлом, связанный с северокорейскими операторами, использовал ИИ в длительной кампании социальной инженерии, которая на прошлой неделе вывела около $100,000 из его горячих кошельков.
Summary
Подробности инцидента от Zerion
Поставщик кошельков сообщил в постмортеме, что средства пользователей, приложения Zerion или инфраструктура не пострадали. Более того, веб-приложение было отключено в качестве меры предосторожности после нарушения.
Хотя потеря была скромной по меркам индустрии, Zerion заявил, что это был еще один случай атаки социальной инженерии с использованием ИИ, связанной с группой, поддерживаемой КНДР. Компания также сообщила, что злоумышленник получил доступ к активным сессиям некоторых членов команды, учетным данным и приватным ключам к горячим кошелькам.
Тем не менее, инцидент вписывается в более широкую картину, которая теперь определяет значительную часть рисков безопасности криптовалют. Акторы, связанные с Северной Кореей, все чаще нацеливаются на людей, а не на код, чтобы проникнуть в компании.
Широкая картина в индустрии
Это вторая атака такого рода в этом месяце, после эксплойта на $280 миллионов в Drift Protocol, который был поражен тем, что следователи описали как структурированную разведывательную операцию хакеров, связанных с КНДР.
Таким образом, сдвиг очевиден: человеческий фактор, а не ошибки в смарт-контрактах, стал основным входом Северной Кореи в крипто-компании. Zerion заявил, что метод соответствует случаям, рассмотренным Альянсом безопасности, или SEAL, на прошлой неделе.
SEAL сообщил, что отслеживал и блокировал 164 домена, связанных с группой КНДР UNC1069, в течение двух месяцев с февраля по апрель. Группа проводила многонедельные, низкоинтенсивные кампании в Telegram, LinkedIn и Slack, часто выдавая себя за известных контактов или надежные бренды.
Более того, тактика опиралась на терпение, точность и преднамеренное использование существующих доверительных отношений. На практике это означало, что злоумышленники могли завоевать доверие, прежде чем перейти к краже.
ИИ-инструменты и более глубокое проникновение
Кибербезопасностное подразделение Google Mandiant заявило в феврале, что группа использовала поддельные встречи в Zoom и ИИ-инструменты для редактирования изображений или видео на этапе социальной инженерии. Выводы показали, как мошенничества с использованием ИИ могут сделать рутинные контакты аутентичными.
В начале этого месяца разработчик MetaMask и исследователь безопасности Taylor Monahan заявил, что северокорейские ИТ-работники были внедрены в крипто-компании и проекты децентрализованных финансов как минимум семь лет.
Однако, Elliptic заявил, что угроза выходит за рамки бирж. Компания по безопасности блокчейна предупредила, что разработчики, участники проектов и любой, кто имеет доступ к инфраструктуре криптоактивов, могут стать целью.
Случай Zerion добавляет еще одно предупреждение для сектора. По мере того как злоумышленники совершенствуют свои методы, компании должны рассматривать социальную инженерию как основной риск безопасности, а не второстепенную проблему.
