Хакери з Північної Кореї створили фіктивні компанії в США для викрадення крипто-гаманців розробників

Група Lazarus з Північної Кореї через свою підрозділ створила фіктивні компанії, зареєстровані у США, як частину кампанії для фішингу крипто-розробників і викрадення їхніх гаманців, згідно з новим звітом агентства Reuters.

Ці компанії, Blocknovas LLC та Softglide LLC, були зареєстровані в Нью-Мексико та Нью-Йорк, використовуючи фіктивні особи та адреси. Інша структура, Angeloper Agency, ймовірно, пов’язана з цією операцією, але не зареєстрована у США. Схема полягала у створенні фіктивних компаній, встановленні переконливої онлайн-присутності та публікації оголошень про роботу, які націлені на розробників.

Хакери використовували фальшиві особи, вигадані адреси, а також реальні платформи, такі як LinkedIn та Upwork, щоб виглядати легітимно і залучати розробників. Як тільки кандидати погоджувалися, їх проводили через фальшиві співбесіди та інструктували завантажити тестові завдання або програмне забезпечення.

Ці файли містили шкідливе програмне забезпечення, яке, після виконання, забезпечувало доступ до системи жертви, дозволяючи видобувати паролі, ключі крипто-гаманців та інші чутливі дані. Група, що говорить російською, використовувала практично ідентичні тактики в попередній кампанії.

У лютому BleepingComputer повідомив, що Crazy Evil, російськомовна кіберзлочинна група, вже застосувала порівнянні тактики у цілеспрямованій схемі проти шукачів роботи в крипто та веб3.

Підгрупа Crazy Evil створила фіктивну компанію під назвою ChainSeeker.io, публікуючи шахрайські оголошення на платформах, таких як LinkedIn. Кандидати були направлені завантажити шкідливий додаток GrassCall, який встановлював шкідливе програмне забезпечення, призначене для викрадення облікових даних, крипто-гаманців та чутливих файлів.

Операція була добре скоординована, використовуючи клони веб-сайтів, фальшиві профілі та Telegram для розповсюдження шкідливого програмного забезпечення. ФБР підтвердило зв’язок з Північною Кореєю.

Кейс Бест, директор з інтелектуальної загрози в Silent Push, зазначив, що це один з перших відомих випадків, коли хакери з Північної Кореї створюють легально зареєстровані компанії у США, щоб уникнути контролю та здобути довіру.

Silent Push відстежив хакерів до Групи Lazarus і підтвердив численні випадки жертв кампанії, вказуючи на Blocknovas як на найактивнішу з трьох виявлених компаній.

ФБР вилучило домен Blocknovas у рамках заходів правознавства проти кіберзлочинців з Північної Кореї, які використовували фальшиві оголошення для розповсюдження шкідливого програмного забезпечення.

Офіційні особи ФБР заявили, що продовжують<фокусуватися на накладенні ризиків і наслідків>, не лише на самих акторів з КНДР, а й на всіх, хто сприяє їхній можливості проводити ці схеми.

За словами одного з представників ФБР, кібероперації Північної Кореї є одними з найбільш складних та постійних загроз країни. Північна Корея використовує російську інфраструктуру для масштабування атак.

Щоб подолати обмежений доступ до внутрішнього інтернету, хакерська група з Північної Кореї використовує міжнародну інфраструктуру, зокрема російські IP-адреси, розміщені в містах Хасан і Хабаровськ, які мають прямі зв’язки з Північною Кореєю, згідно з глибоким аналізом Trend Micro.

Використовуючи VPN, RDP-сесії та проксі-сервіси, такі як Astrill VPN і CCProxy, оперативники Lazarus можуть управляти атаками, комунікувати через GitHub і Slack, а також отримувати доступ до платформ, таких як Upwork і Telegram.

Дослідники в Silent Push виявили сім інструкційних відео, записані обліковими записами, пов’язаними з Blocknovas, як частина операції. Відео описують, як налаштувати сервери командного управління, красти паролі з браузерів, завантажувати викрадені дані в Dropbox і зламувати крипто-гаманці за допомогою інструментів, таких як Hashtopolis.

Сотні розробників стали мішенями, багато з них неусвідомлено оголошуючи свої чутливі облікові дані. Деякі порушення, здається, ескалувались за межі крадіжки, що вказує на те, що Lazarus міг передати доступ іншим державам, зацікавленим у шпіонажі.

Офіційні особи США, Південної Кореї та ООН підтвердили Reuters, що хакери з Північної Кореї відправили тисячі IT-робітників за кордон для генерації мільйонів фінансування для ядерної програми ракет Пхеньяна.