ФБР и CSIA выпустили предупреждение о северокорейских кибератаках на криптовалютные цели

Агентство по кибербезопасности и инфраструктурной безопасности (CISA) и ФБР выпустили предупреждение о киберугрозах, спонсируемых северокорейским государством и направленных на блокчейн-компании, в ответ на взлом Ronin Bridge в прошлом месяце.

Предупреждение было выпущено 18 апреля совместно с Федеральным бюро расследований и Министерством финансов, в нем содержались предупреждения и предложения по смягчению последствий для блокчейн- и крипто-компаний, чтобы обеспечить безопасность своих операций от хакеров.

Вместе с @FBI и @USTreasury мы выпустили новый совет по кибербезопасности о деятельности северокорейского государства, направленной на технологию блокчейн и криптовалютную индустрию. Ознакомьтесь с техническим руководством и стратегиями смягчения последствий: pic.twitter.com/VLa3HUrsPY

– Агентство кибербезопасности и безопасности инфраструктуры (@CISAgov) 18 апреля 2022 г.

Lazarus – не единственная хакерская группа, названная по имени как передовая постоянная угроза (APT). В число Lazarus входят APT38, BlueNoroff и Stardust Chollima. Эти и подобные им группы были замечены в нападениях на то, что в бюллетене названо “различными организациями в области технологии блокчейн и криптовалютной индустрии”, такими как биржи, протоколы децентрализованного финансирования (DeFi) и игры “играй-зарабатывай”.

Согласно отчету Chainalysis, в 2021 году их усилия пополнили казну на 400 млн долларов США в виде украденных криптовалютных средств. Режим уже превысил эту сумму в этом году благодаря взлому Ronin Bridge, из которого в конце марта было извлечено около 620 миллионов долларов в криптовалюте.

CSIA не считает, что в ближайшее время темпы краж снизятся, поскольку, по ее словам, группы используют для кражи криптовалют методы spearphishing и вредоносные программы. Она добавила, что:

“Эти субъекты, вероятно, продолжат использовать уязвимости криптовалютных технологических фирм, игровых компаний и бирж для генерирования и отмывания средств в поддержку северокорейского режима”.

Упорный отказ Ким Чен Ына демонтировать свою программу ядерного оружия вынудил США ввести против его страны одни из самых жестких экономических санкций за всю историю. Это заставило его обратиться к криптовалюте для финансирования программы ядерного оружия, поскольку его денежные потоки через традиционные средства были почти полностью перекрыты.

Хотя в предупреждении более подробно описывается, как именно эти группы используют вредоносные программы, такие как AppleJeus, для атак на блокчейн и криптовалютные компании, в нем также предлагаются рекомендации о том, как пользователи могут снизить риск для себя и своих средств. Большинство рекомендаций – это здравые процедуры безопасности, такие как использование многофакторной аутентификации на личных счетах, обучение пользователей распространенным угрозам социальной инженерии, блокирование электронной почты недавно зарегистрированных доменов и защита конечных точек.

Список стратегий по снижению рисков, которые должны предпринять компании, чтобы обезопасить себя от вреда, включает все разумные предложения, однако CSIA считает, что образование и осведомленность о существующей угрозе – одна из лучших стратегий.

“Знающие кибербезопасность сотрудники – одна из лучших защит от таких методов социальной инженерии, как фишинг”, – говорится в заключении.