Російська компанія з кібербезпеки Kaspersky попередила про нову форму атаки на криптовалютні фірми, яка, за її словами, здійснюється з «хірургічною точністю» хакерами за допомогою пошкодженого програмного забезпечення.
Касперського Дослідження показало, що минулого тижня кілька компаній, орієнтованих на криптовалюту, стали жертвами атаки на ланцюг поставок програмного забезпечення 3CX.
Хоча він не назвав цільові фірми, він зробив це розкрити вони базувалися в «західній Азії».
Напад, який, імовірно, був здійснений від імені північнокорейський уряд, брав участь у пошкодженні широко використовуваної програми VoIP, 3CX, щоб проштовхнути код хакерів на машини жертв.
Хакерам це вдалося
Георгій Кучерін, дослідник групи аналітиків безпеки Kaspersky GReAT, сказав, що цей тип атак «стає дуже поширеним», і пояснив:
«Під час атак на ланцюг постачання загрозливий суб’єкт проводить розвідку жертв, збираючи інформацію, потім вони фільтрують цю інформацію, вибираючи жертв для розгортання зловмисного програмного забезпечення другого етапу».
Фільтрація покликана допомогти зловмисникам уникнути виявлення, враховуючи, що розгортання зловмисного програмного забезпечення другого етапу для багатьох жертв стає легшим для виявлення.
Однак тут, здається, щось пішло не так.
За словами Кучеріна, атака на ланцюг поставок 3CX була виявлена швидко, принаймні порівняно з іншими. Охоронні компанії, як CrowdStrike і SentinelOne вже минулого тижня виявив встановлення початкового зловмисного програмного забезпечення, менше ніж через місяць після його розгортання.
«Вони намагалися сховатися, але їм це не вдалося», – каже Кучерін. «Їх перші імплантати були виявлені».
CrowdStrike і SentinelOne ідентифікували північнокорейських хакерів як зловмисників, які скомпрометували інсталяційне програмне забезпечення 3CX, яке використовується 600 000 організаціями по всьому світу, повідомляє Wired.
Крім того, Kaspersky виявив, що хакери перебирали заражених жертв, щоб ідентифікувати та навмисно атакувати «менше 10 машин», підключених до криптокомпаній. Це принаймні дані, зібрані на даний момент.
Схоже, що державні хакери все частіше використовують ланцюжки поставок програмного забезпечення, щоб заразити тисячі організацій, але потім зосереджуються лише на кількох жертвах.
Про це цитує Кушерін,
«Це все було зроблено лише для того, щоб скомпрометувати невелику групу компаній, можливо, не тільки криптовалютних, але ми бачимо, що одним із інтересів зловмисників є криптовалютні компанії. […] Криптовалютні компанії повинні бути особливо стурбовані цією атакою, оскільки вони є ймовірними цілями, і їм слід сканувати свої системи на предмет подальшого компрометування».
Але оскільки зловмисники були спіймані, поки невідомо, чи була кампанія успішною. Кучерін сказав, що Касперський наразі не бачив жодних доказів фактичної крадіжки криптовалюти від компаній, які були мішенню для цього конкретного шкідливого програмного забезпечення.
Більше компаній, у тому числі тих, що не працюють у криптоіндустрії, ймовірно, є майбутніми цілями. Том Хегель, дослідник безпеки з SentinelOne, додав, що,
«Поточна теорія на даний момент полягає в тому, що зловмисники спочатку націлилися на криптокомпанії, щоб проникнути в ці важливі організації. […] Я припускаю, що як тільки вони побачили успіх цього і типи мереж, у яких вони були, ймовірно, почалися інші цілі».
Він додав, що ситуація “розгортається дуже швидко”, і що ще потрібно більше дізнатися про жертв і потенційні цілі. «Але з точки зору зловмисників, — сказав Гегель, — якщо все, що вони робили, — це націлюватися на криптофірми, це була драматично втрачена можливість».
Третина користувачів крипто стали жертвами шахраїв
А тим часом Касперський обстежено 2000 американців у жовтні минулого року виявили, що третина тих, хто володів криптовалютою, також стикалася з її крадіжкою. Середня вартість крадіжки склала 97 583 дол.
Третій сказав, що став жертвою шахрайського веб-сайту, пов’язаного з криптовалютою, або інвестицій афера. Серед жертв у 19% викрали особисті дані, а у 27% викрали особисті дані та гроші з банківських рахунків.
Марко Ріверо, старший дослідник безпеки Kaspersky GReAT, сказав що «дані цього опитування показують, що у багатьох людей викрадають криптовалюту і навіть стикаються з крадіжкою особистих даних».
Користувачі повинні стежити за фішинговими шахрайствами та підробленими веб-сайтами, застосовувати будь-які додаткові заходи безпеки, які їм доступні, наприклад багатофакторну автентифікацію, і використовувати надійні унікальні паролі для всіх облікових записів, порадив Ріверо.
Тим часом хакери, які викрадають криптовалюту для північнокорейського режиму, не є новим явищем. Ви можете прочитати про це нижче.
____
Вивчайте більше:
– Новий звіт розкриває, як північнокорейські хакери використовують хмарні обчислення для відмивання криптографічної здобичі – чи варто вам хвилюватися?
– Адреси гаманців, пов’язані з експлойтом Euler на суму 200 мільйонів доларів, і хакерами Axie Infinity таємничим чином взаємодіють – чи причетні до цього північнокорейські хакери?
– Сеул: санкції можуть виявитися неефективними проти криптозломів Північної Кореї
– Виявлено нову північнокорейську програму-вимагач для «великих установ», кажуть Південна Корея, США
– Хакери Web 3 стають розумнішими: ось як уберегтися
– Чи безпечно інвестувати криптовалюту у 2023 році? Як уникнути криптошахрайства