קספרסקי, מעבדת אבטחת סייבר, מעוררת את האזעקה בגלל טקטיקות דיוג מחודשות של קבוצת BlueNoroff. ההאקרים ממומנים על ידי צפון קוריאה שמונעת כלכלית להרוויח מהתקפות הסייבר שלה נגד חברות פיננסיות, כולל גופי קריפטו.
BlueNoroff יצרה למעלה מ-70 דומיינים מזויפים המחקים הון סיכון חברות ובנקים. רוב המתחזים הציגו את עצמם כחברות יפניות ידועות. ובכל זאת, חלקם טענו שהם מארצות הברית ווייטנאם.
קבוצת BlueNoroff מזריקה לעתים קרובות תוכנות זדוניות באמצעות מסמכי Word וקבצי קיצורי דרך. התוכנה הזדונית האחרונה שלהם יכולה להתחמק מדגל Mark-of-the-Web (MOTW).
דוח קספרסקי חשף שקבוצת BlueNoroff מתנסה בסוגים חדשים של קבצים ושיטות הפצת תוכנות זדוניות אחרות.
לאחר ההתקנה, התוכנה הזדונית שלו עוקפת את אזהרות האבטחה של Windows MOTW לגבי הורדת תוכן. לאחר מכן, הנגיף מיירט בגדול מטבע מבוזר העברות, שינוי כתובת הארנק של הנמען והגדלת סכום ההעברה למקסימום, ניקוז החשבון בעסקה אחת.
Seongsu Park, חוקר קספרסקי, ציין את העלייה במתקפות הסייבר לקראת שנת 2023. פארק הדגיש את הצורך של עסקים להיות בטוחים יותר מאי פעם כאשר קמפיינים זדוניים חדשים צצים.
הלחץ של האקרים צפון קוריאנים על האבטחה
השמיים איום צפון קוריאני השחקן פגע לראשונה בבנק מרכזי בבנגלדש ב-2016 והיה על הרדאר של שירותי אבטחת הסייבר של ארצות הברית של מדינות.
הבולשת הפדרלית של ארצות הברית (FBI), בשיתוף עם הסוכנות לאבטחת סייבר ותשתיות (CISA), המליצו לכל חברות הקריפטו המבוססות באמריקה לחזק את ארכיטקטורת האבטחה שלהן נגד תוקפים פוטנציאליים מהאקרים צפון קוריאנים.
דו"ח אבטחה של Group-IB ber לאחרונה גילה שמאז 2017 נגנבו מעל 882 מיליון דולר מבורסות קריפטו על ידי קבוצת לזרוס בחסות המדינה.
הקבוצה אחראית לכאורה לניצול של 600 מיליון דולר של גשר רונין בחודש מרץ, ולאחרונה נצפתה כשהיא משתמשת ביותר מ-500 דומיינים כדי לנסות גניבה של אסימונים שאינם ניתנים לשינוי (NFT).
למרבה הצער, חילופי קריפטו הם לא הנפגעים היחידים של האקרים קוריאנים אלה. הדו"ח של Group-IB גם חשף כי יותר מ-10% מהכספים ממסעות פרסום ראשוניים (ICOs) נגנבו מאז 2017.
חלק ממבצע גדול יותר?
חדר 39, הוא א ארגון סודי במסגרת ממשלת צפון קוריאה האחראית להפקת מטבע זר ממקורות בלתי חוקיים עבור המדינה. קיימות עדויות לכך שהיא מעורבת במספר פעילויות בלתי חוקיות, כולל זיוף וסחר בסמים, וכן מיזמים בלתי חוקיים אחרים כגון מכירות נשק ופריצות.
עריקים צפון קוריאנים אומרים כי היא מופעלת מבניין בעיר הבירה פיונגיאנג, ובראשה עומדים בני משפחת קים, שהחזיקו בשלטון בצפון קוריאה במשך שלושה דורות.
האופי המדויק והיקפה של פעילותו של חדר 39 אפופים במסתורין, שכן הוא פועל בסתר בשל האופי הבלתי חוקי של הפעולות. זה ככל הנראה מקור מימון מרכזי לדיקטטורה הצפון קוריאנית, והוא נחשב כאחראי להפקת מאות מיליוני דולרים בכסף אפל מדי שנה.
לארגון מאמינים שיש קשרים בינלאומיים נרחבים, וכן רשאי לייצא עבודת עבדים למדינות אירופה כדי לנצל את עלויות העבודה הגבוהות יותר באיחוד האירופי, בהשוואה למזרח אסיה.
קוריאה הצפונית נמצאת זמן רב בסנקציות בראשות ארה"ב, מה שמפעיל לחץ על הגישה שלה לעתודות מט"ח. על ידי התמודדות עם עסקים לא חוקיים מבוססי מזומן, המדינה יכולה לגשת לכספים נזילים, וזו אולי הסיבה שהאקרים צפון קוריאנים מחפשים יותר קריפטו כרגע.
עוד הבלאגן לצפון קוריאה
אי אפשר לדעת אם חדר 39 עומד מאחורי הפריצות המתמשכות, אבל צפון קוריאה ידועה עסקאות מפוקפקות המגייסים נכסים נזילים. עסק בלתי חוקי נוסף ותיק עבור צפון קוריאה הוא ייצור וייצוא של מתאמפטמין, שלטענת עריק מהאומה היה נעשה תחת פקודות ישירות של קים ג'ונג-איל.
המת' נמצא בשימוש נרחב על ידי האוכלוסייה המקומית. לפי הערכות מסוימות, עד מחצית מאוכלוסיית צפון קוריאה משתמש בתרופה, שגם הוא מיוצא בכמויות גדולות. מדינות שכנות כמו סין הן שווקי יצוא מובילים, אבל מדינות אחרות כמו ארה"ב יירטו משלוחי מת' מצפון קוריאה.
בדומה לפריצות הקריפטו, עסקים לא חוקיים כמו ייצור מת' נהנים ככל הנראה מחסות מדינת צפון קוריאה, מה שגורם לסבירות שהם ימשיכו ללא הפרעה.
מקור: https://crypto.news/kaspersky-north-korean-hackers-mimic-crypto-vcs-in-new-phishing-scheme/