Kibernetinio saugumo tyrinėtojas Tayloras Monahanas teigė, kad su Šiaurės Korėja susiję IT darbuotojai jau daugelį metų dirba decentralizuoto finansų ekosistemoje. Monahanas teigė, kad šie aktoriai prisidėjo prie daugelio gerai žinomų protokolų 2020 m. „DeFi vasaros“ eroje.
Pagal jos naujausią tviterį, ilgametė „blockchain“ kūrimo patirtis, nurodyta jų gyvenimo aprašymuose, dažnai buvo tikra, o tai rodė tikrą techninį indėlį, o ne išgalvotus įgaliojimus.
DeFi įsiskverbimo metai
Paprašius pateikti pavyzdžių, ji nurodė kelis svarbius projektus, įskaitant „SushiSwap“, „THORChain“, „yearn“, „Harmony“, „Ankr“ ir „Shiba Inu“ bei daugelį kitų. Monahanas taip pat atskleidė, kad kai kurios komandos, pavyzdžiui, „Youngn“, išsiskyrė griežtu požiūriu į saugumą, labai pasikliovė tarpusavio vertinimu ir išlaikė aukštą skepticizmo lygį bendradarbių atžvilgiu.
Ji teigė, kad tai padėjo apriboti galimą poveikį, palyginti su kitais projektais. Be to, Monahanas perspėjo, kad taktika pasikeitė ir šios grupės dabar potencialiai naudoja ne Šiaurės Korėjos asmenis, kad galėtų atlikti kai kurias savo operacijas, įskaitant asmeninį bendravimą. Saugumo eksperto vertinimu, per šį laikotarpį šie subjektai bendrai iš kriptovaliutų erdvės galėjo išgauti mažiausiai 6,7 mlrd.
Šiaurės Korėja ir toliau dominuoja su kriptovaliutų elektroniniais nusikaltimais ir tapo didžiausia valstybės remiama grėsme šiame sektoriuje. Remiantis ankstesne „Chainalysis“ ataskaita, vien 2025 m. KLDR įsilaužėliai pavogė mažiausiai 2,02 mlrd. USD skaitmeninio turto, ty 51 proc. daugiau nei 2024 m., o tai sudaro 76 proc. visų su paslaugomis susijusių pažeidimų.
Nors atakų buvo mažiau, mastas buvo žymiai didesnis. Grandininė analizė priskyrė šį mastą valstybės remiamų grupių naudojimuisi infiltruotų IT darbuotojų, kurie gauna prieigą prie kriptovaliutų firmų, įskaitant biržas ir saugotojus, prieš įvykstant dideliems išnaudojimams.
Kai lėšos yra pavogtos, šie veikėjai paprastai perkelia turtą mažesniais sandoriais, kurių daugiau nei 60 % pervedimų sudaro mažiau nei 500 000 USD. Jų plovimo metodai labai priklauso nuo kryžminių grandinių įrankių, maišymo paslaugų ir kinų kalbos finansinių tinklų.
Jums taip pat gali patikti:
„Security Alliance“ (SEAL) anksčiau nustatė, kad šios grupės vykdė kibernetines atakas, naudodamos netikrus Zoom arba Microsoft Teams skambučius, siekdamos užkrėsti aukas kenkėjiškomis programomis. Šios operacijos dažnai prasideda per pažeistas Telegram paskyras, kur užpuolikai prisistato kaip žinomi kontaktai ir kviečia taikinius prisijungti prie vaizdo skambučio.
Susitikimo metu naudojami iš anksto įrašyti vaizdo įrašai, kad jie atrodytų teisėti, kol aukoms liepiama įdiegti tariamą naujinimą, kuris suteikia užpuolikams prieigą prie savo įrenginių. Patekę į vidų, šie veikėjai pavagia slaptus duomenis ir pakartotinai naudoja užgrobtas paskyras, kad išplatintų ataką.
Išplečiamas puolimo paviršius
Su Šiaurės Korėja susiję programišiai taip pat buvo įtariami už kovo 1-osios „Bitrefill“ pažeidimą. Pranešama, kad užpuolikai pateko į pažeistą darbuotojo įrenginį ir sugebėjo išgauti kredencialus, leidžiančius giliau patekti į vidines sistemas.
Iš ten jie persikėlė į duomenų bazės dalis ir nusausino lėšas iš karštų piniginių, taip pat išnaudodami dovanų kortelių tiekimo srautus. Rodikliai, tokie kaip kenkėjiškų programų modeliai, elgesys grandinėje ir pakartotinai naudojama infrastruktūra, atitiko ankstesnes operacijas, susijusias su Lazarus ir Bluenoroff grupėmis.
