Skupina Lazarus, u kojoj se nalaze hakeri koje podržava vlada Sjeverne Koreje, ukrala je od kripto start-upova više od 3 milijarde dolara. Ova skupina stoji iza ransomware napada WannaCry, a sada FBI kaže kako imaju novu taktiku. Lažno se predstavljaju kao investitori rizičnog kapitala kako bi dobili pristup direktorima kripto tvrtki i instalirali zlonamjerne programske kodove, piše Forbes.
Hakerske skupine povezane sa Sjevernom Korejom već ranije su se lažno predstavljale kao stručnjaci za kadroviranje ili kandidati za poslove. Ideja je bila organizirati videopoziv sa zaposlenicima kripto tvrtki i taj sastanak iskoristiti za ubacivanje zaraženih datoteka ili zlonamjernog koda u računala meta. Tako su te skupine od 2017. godine ukrale više od 3 milijarde dolara. Ipak, čini se kako je oponašanje investitora rizičnog kapitala nova strategija.
Predstavili se kao ugledni investitori rizičnog kapitala
FBI je u prijavi za zapljenu podnesenoj sudu u studenom naveo kako je skupina Lazarus navodno ukrala više od 34 milijuna dolara u tokenima od jednog kripto start-upa. Pretvarali su se da su "ugledni" investitori rizičnog kapitala iz Hong Konga koji žele ulagati u kripto. Hakeri su direktora start-upa kontaktirali preko lažnog računa na Telegramu u studenom 2023. godine. FBI nije imenovao koga su sjevernokorejski hakeri oponašali.
"Tijekom razgovora je izvršni direktor kliknuo link za pridruživanje videosastanku s pojedincem koji se pretvarao da je investitor, ali link nije radio. Prevarant je potom direktoru poslao datoteku sa skriptom za rješavanje problema, koju je direktor i aktivirao", objasnio je u sudskom podnesku specijalni agent FBI-a Justin M. Vallese.
Datoteka je na računalo start-upa instalirala zlonamjerni program poznat kao CryptoMimic, koji im je omogućio pristup uređaju. Tamo su hakeri navodno pronašli informacije o privatnim ključevima za 5000 adresa na kojima su se čuvali kripto tokeni u vrijednosti većoj od 17 milijuna dolara. "Prevaranti su navodno izbrisali tu datoteku s računala zaposlenika i oduzeli pristup kompaniji", rekao je Vallese.
FBI nije imenovao start-up u sudskom podnesku, no rečeno je kako je među ukradenim kriptovalutama bio token naziva NFP, koji je pustio start-up NFPrompt. Kompanija je 15. ožujka na Twitteru (X-u) objavila kako je "skupina hakera kompromitirala neke novčanike, uključujući i novčanike administratora za NFP".
Iz start-upa nisu odgovorili na Forbesov upit za komentar, dok je FBI odbio komentirati.
Upozorenja su stizala i ranije
FBI je CryptoMimic povezao sa serverima smještenima u Sjevernoj Koreji, a ukradene tokene pronašao na računima kriptoburzi Binance i MEXC. Računi su zamrznuti, a sada su 3,2 milijuna dolara kriptovaluta u rukama FBI-a.
Sudski podnesak ne otkriva kako je izgubljeno preostalih 17 milijuna dolara ni što se dogodilo s ostatkom kriptovaluta.
Još u rujnu je FBI izdao upozorenje da Sjeverna Koreja "agresivno napada" kripto kompanije. "Sjevernokorejske sheme komplicirane su i razrađene i često kompromitiraju žrtve pomoću sofisticiranog tehničkog znanja", upozorio je FBI. Tijela za nadzor sankcija UN-a ranije ove godine izjavila su kako je Sjeverna Koreja u napadima na kripto kompanije između 2017. i 2023. godine "zaradila" više od tri milijarde dolara, izvijestio je Guardian.
Forbes je ranije ovog mjeseca izvijestio kako su hakeri skupine Lazarus ukrali 16 milijuna dolara od kriptoburze iz Bahreina, Rain.com. To su učinili tako što su kontaktirali zaposlenike burze preko LinkedIna. Ponekad sjevernokorejski programeri čak i dobiju poslove u tvrtkama, koristeći lažne identitete i VPN za prikrivanje svoje lokacije.
Istraživači sigurnosti Microsofta i Recorded Futurea još su prošle godine upozorili kako su sjevernokorejski hakeri poboljšali svoje metode. Već tada su govorili da se predstavljaju kao investicijski bankari i investitori rizičnog kapitala. FBI-ev sudski podnesak prvi je dokaz uspješnog hakiranja pomoću te taktike.