Οι φορείς εκμετάλλευσης που σχετίζονται με την υποομάδα Lazarus BlueNoroff έχουν συνδεθεί με μια σειρά κυβερνοεπιθέσεων που στοχεύουν μικρές και μεσαίες εταιρείες σε όλο τον κόσμο με στόχο να εξαντλήσουν τα κεφάλαιά τους στα κρυπτονομίσματα, σε μια ακόμη επιχείρηση με οικονομικά κίνητρα που οργανώνεται από το βορειοκορεατικό κράτος.
Η ρωσική εταιρεία κυβερνοασφάλειας Kaspersky, η οποία παρακολουθεί τις εισβολές με το όνομα “SnatchCrypto”, σημείωσε ότι η καμπάνια τρέχει από το 2017, προσθέτοντας ότι οι επιθέσεις στοχεύουν σε νεοφυείς επιχειρήσεις στον τομέα FinTech που βρίσκονται στην Κίνα, το Χονγκ Κονγκ, την Ινδία, την Πολωνία, τη Ρωσία, τη Σιγκαπούρη, τη Σλοβενία, τη Τσεχία, τα Ηνωμένα Αραβικά Εμιράτα, τις ΗΠΑ, την Ουκρανία και το Βιετνάμ.
«Οι επιτιθέμενοι καταχρώνται διακριτικά την εμπιστοσύνη των εργαζομένων που εργάζονται σε στοχευμένες εταιρείες στέλνοντάς τους με πλήρεις δυνατότητες backdoor των Windows με λειτουργίες επιτήρησης, μεταμφιεσμένο ως σύμβαση ή άλλο επιχειρηματικό αρχείο», είπαν οι ερευνητές. «Για να αδειάσει τελικά το κρυπτοπορτοφόλι του θύματος, ο παράγοντας απειλής έχει αναπτύξει εκτεταμένους και επικίνδυνους πόρους: σύνθετες υποδομές, exploits και malware implants».
Το BlueNoroff και η μεγαλύτερη ομπρέλα Lazarus, είναι γνωστά για την ανάπτυξη ενός ποικίλου οπλοστασίου κακόβουλου λογισμικού για μια πολύπλευρη επίθεση σε επιχειρήσεις με σκοπό την παράνομη απόκτηση κεφαλαίων, συμπεριλαμβανομένης της βάσης σε ένα συνδυασμό προηγμένων τακτικών phishing και εξελιγμένου κακόβουλου λογισμικού, για τη Βόρεια Κορέα που έχει πληγεί από κυρώσεις για τα πυρηνικά όπλα και τα προγράμματα βαλλιστικών πυραύλων της.
Αν μη τι άλλο, αυτές οι επιθέσεις στον κυβερνοχώρο αποδίδουν πολλά. Σύμφωνα με μια νέα έκθεση που δημοσιεύτηκε από την εταιρεία ανάλυσης blockchain Chainalysis, ο όμιλος Lazarus έχει συνδεθεί με επτά επιθέσεις σε πλατφόρμες κρυπτονομισμάτων που απέσπασαν ψηφιακά περιουσιακά στοιχεία αξίας σχεδόν 400 εκατομμυρίων δολαρίων μόνο το 2021, από 300 εκατομμύρια δολάρια το 2020.
«Αυτές οι επιθέσεις στόχευαν κυρίως εταιρείες επενδύσεων και κεντρικά χρηματιστήρια […] για να μεταφέρουν κεφάλαια από τα «καυτά» πορτοφόλια αυτών των οργανισμών που είναι συνδεδεμένα στο Διαδίκτυο σε διευθύνσεις που ελέγχονται από τη ΛΔΚ», ανέφεραν οι ερευνητές. «Μόλις η Βόρεια Κορέα απέκτησε την κηδεμονία των κεφαλαίων, ξεκίνησαν μια προσεκτική διαδικασία ξεπλύματος για να καλύψουν και να εξαργυρώσουν» μέσω mixers για να κρύψουν τα ίχνη.
Τεκμηριωμένη κακόβουλη δραστηριότητα στην οποία εμπλέκεται ο παράγοντας του έθνους-κράτους έχουν λάβει τη μορφή ληστειών μέσω κυβερνοχώρου κατά ξένων χρηματοπιστωτικών ιδρυμάτων, ιδίως οι παραβιάσεις του τραπεζικού δικτύου SWIFT το 2015-2016, με πρόσφατες εκστρατείες που είχαν ως αποτέλεσμα την ανάπτυξη μιας κερκόπορτας που ονομάζεται AppleJeus που παρουσιάζεται ως πλατφόρμα συναλλαγών κρυπτονομισμάτων για λεηλασία και μεταφορά χρημάτων στους λογαριασμούς τους.
Οι επιθέσεις SnatchCrypto δεν διαφέρουν στο ότι επεξεργάζονται σχέδια κοινωνικής μηχανικής για να οικοδομήσουν εμπιστοσύνη με τους στόχους τους, παρουσιάζοντας ως νόμιμες εταιρείες επιχειρηματικού κεφαλαίου, μόνο για να το χρησιμοποιήσουν ως δόλωμα στα θύματα τους κατά τη διαδικασία ανοίγματος εγγράφων που εμπεριέχουν κακόβουλο λογισμικό που ανακτούν ένα payload, σχεδιασμένο να εκτελεί ένα κακόβουλο εκτελέσιμο αρχείο το οποίο λαμβάνεται μέσω ενός κρυπτογραφημένου καναλιού από απομακρυσμένο διακομιστή.
Μια εναλλακτική μέθοδος που χρησιμοποιείται για την ενεργοποίηση της αλυσίδας μόλυνσης είναι η χρήση αρχείων συντόμευσης των Windows (“.LNK”) για την ανάκτηση του κακόβουλου λογισμικού επόμενου σταδίου, μιας δέσμης ενεργειών της Visual Basic, που στη συνέχεια ενεργεί ως σημείο μετάβασης για την εκτέλεση μιας σειράς ενδιάμεσων payloads πριν εγκαταστήσoυν ένα backdoor με πλήρεις δυνατότητες που διαθέτει “εμπλουτισμένες” δυνατότητες λήψης στιγμιότυπων οθόνης, εγγραφής πλήκτρων, κλοπής δεδομένων από το πρόγραμμα περιήγησης Chrome και εκτέλεσης αυθαίρετων εντολών.
Ο απώτερος στόχος των επιθέσεων, ωστόσο, είναι η παρακολούθηση των οικονομικών συναλλαγών των παραβιασμένων χρηστών και η κλοπή κρυπτονομισμάτων. Σε περίπτωση που ένας πιθανός στόχος χρησιμοποιήσει μια επέκταση Chrome όπως το Metamask για τη διαχείριση πορτοφολιών κρυπτογράφησης, ο αντίπαλος κινείται κρυφά για να αντικαταστήσει τοπικά το κύριο στοιχείο της επέκτασης με μια ψεύτικη έκδοση που ειδοποιεί τους χειριστές κάθε φορά που ξεκινά μια μεγάλη μεταφορά σε άλλο λογαριασμό.
Για την απομάκρυνση των κεφαλαίων, εκτελείται έγχυση κακόβουλου κώδικα για να υποκλαπούν και να τροποποιηθούν τα στοιχεία της συναλλαγής κατά παραγγελία. «Οι εισβολείς δεν τροποποιούν μόνο τη διεύθυνση του παραλήπτη [το πορτοφόλι], αλλά ωθούν και το ποσό του νομίσματος στο όριο, ουσιαστικά εξαντλώντας τον λογαριασμό με μία κίνηση», εξήγησαν οι ερευνητές.
“Το κρυπτονομίσματα είναι ένας πολύ στοχευμένος τομέας όσον αφορά το έγκλημα στον κυβερνοχώρο λόγω της αποκεντρωμένης φύσης των νομισμάτων και του γεγονότος ότι, σε αντίθεση με τις πιστωτικές κάρτες ή τις τραπεζικές μεταφορές, η συναλλαγή γίνεται γρήγορα και είναι αδύνατο να αντιστραφεί”, Erich Kron, συνήγορος ευαισθητοποίησης για την ασφάλεια στο KnowBe4, αναφέρεται σε δήλωση.
“Τα έθνη-κράτη, ειδικά εκείνα που υπόκεινται σε αυστηρούς δασμούς ή άλλους οικονομικούς περιορισμούς, μπορούν να ωφεληθούν πολύ από την κλοπή και τη χειραγώγηση κρυπτονομισμάτων. Πολλές φορές, ένα πορτοφόλι κρυπτονομισμάτων μπορεί να περιέχει πολλούς τύπους κρυπτονομισμάτων, καθιστώντας τα έναν πολύ ελκυστικό στόχο”, πρόσθεσε ο Kron.
