У группировки Lazarus,
по-видимому, есть спецподразделение, которое занимается кражей средств из
кошельков криптобирж по всему миру. Сейчас оно интенсивно занимается
израильскими биржами.
Ущерб на 200 с лишним миллионов
Северокорейские хакеры за
последние три года обобрали криптобиржи США, Израиля, Европы и Японии на сотни
миллионов долларов. Организация под условным наименованием CryptoCore, стоящая за этими
операциями, тесно связана с кибергруппировкой Lazarus, которая считается детищем северокорейских спецслужб.
Еще в 2020 г.
деятельность CryptoCore была описана экспертами компании ClearSky. В исследовании говорилось, что атаки начались в
2018 г., и что мотивация этой группировка имела сугубо финансовый характер.
Большая часть атак была направлена на онлайн-кошельки криптобирж или их
отдельных работников. Атаки всегда начинались со спиэр-фишинга.
К 2020 г. CryptoCore нанесла ущерба на
сумму более $200 млн. По мнению экспертов ClearSky, группировка могла иметь восточно-европейское
происхождение. Однако расследования других компаний эти данные скорректировали.
Поющие Лазаря
Исследователи компании F-Secure, например, сразу указали на то, что вредоносные
программы, используемые CryptoCore, очень напоминают те, которыми пользуется Lazarus.
В своем новом
исследовании эксперты ClearSky проанализировали исследования сразу нескольких
других фирм: NTTSecurity, JPCERT/CC, ESET и «Лаборатории Касперского». Оказалось, что
правила YARA для
RAT-троянцев CryptoCore, установленные
экспертами F-Secure, при минимальных
изменениях срабатывают и против RAT-троянцев Lazarus, описанных в более ранних исследованиях
«Лаборатории Касперского» и ESET. Кроме того, удалось выявить сходство в коде и в
поведении вредоносов Lazarus и CryptoCore и подтвердить наличие 40 общих индикаторов компрометации.
В итоге в ClearSky берутся «со средневысокой
уверенностью» утверждать, что за CryptoCore и Lazarus стоят одни и те же люди.
Сейчас CryptoCore активно
пытается атаковать криптобиржи Израиля. Скорее всего, как пишет Bleeping
Computer, им не важно, где эти биржи располагаются, имеют значение только их
обороты и степень защищенности.
«То, что северокорейские
акторы атакуют криптобиржи и организации финансового сектора, не является
большой новостью, — указывает Анастасия
Мельникова, эксперт по информационной безопасности компании SEC Consult Services. — Еще в прошлом
году фирмы Groub-IB и Sansec обратили внимание на
атаки Lazarus,
нацеленные на торговые площадки, отмечая, что злоумышленников уже интересуют не
только данные платежных карт, но и криптовалюты. Вероятно, CryptoCore — это просто
специализированное подразделение Lazarus, занимающееся кражей криптовалютных активов».
