Северокорейские хакеры атакуют разработчиков Криптo с помощью американских фирм-пустышек

Северокорейские хакеры, выдавая себя за американских предпринимателей в сфере технологий, тайно зарегистрировали компании в Нью-Йорке и Нью-Мексико в рамках кампании по компрометации разработчиков в сфере Криптo , сообщила в четверг компания Silent Push, занимающаяся безопасностью.

Два предприятия, Blocknovas и Softglide, были созданы с использованием фиктивных личностей и адресов. Операция связана с подгруппой внутри Lazarus Group.

За последние годы хакерская группа, поддерживаемая Северной Кореей, похитила Криптo на миллиарды долларов, используя сложные методы и стратегии, нацеленные на ничего не подозревающих людей или компании.

«Это RARE пример того, как северокорейским хакерам действительно удалось создать юридические лица в США, чтобы создать корпоративные прикрытия, используемые для атак на ничего не подозревающих соискателей», — заявил Кейси Бест, директор по анализу угроз в Silent Push.

Хакерская стратегия столь же манипулятивна, сколь и эффективна: использовать поддельные профили в стиле LinkedIn и объявления о вакансиях, чтобы заманить разработчиков Криптo на собеседования. Затем, в процессе найма, их обманом заставляют загрузить вредоносное ПО, замаскированное под инструменты подачи заявлений на работу.

Silent Push выявила нескольких жертв операции, особенно тех, с кем связались через Blocknovas, которая, по словам исследователей, была самой активной из трех подставных компаний. Указанный адрес фирмы в Южной Каролине, похоже, пустует, в то время как Softglide была зарегистрирована через налоговую инспекцию в Буффало, штат Нью-Йорк.

Фирма добавила, что вредоносное ПО, используемое в кампании, включает по крайней мере три штамма вируса, ранее связанных с северокорейскими киберподразделениями. Эти программы могут красть данные, предоставлять удаленный доступ к зараженным системам и служить точками входа для дополнительных шпионских программ или программ-вымогателей.

По данным Reuters, ФБР арестовало домен Blocknovas. В уведомлении, размещенном на сайте, говорится, что он был удален «в рамках действий правоохранительных органов против северокорейских киберпреступников, которые использовали этот домен для обмана людей с помощью поддельных объявлений о вакансиях и распространения вредоносного ПО».