I korte træk
– Nordkoreanske hackere oprettede to falske virksomheder i USA for at angribe kryptoudviklere.
– Hackerne tilbød jobsamtaler til udviklerne, før de kompromitterede deres kryptokonti ved hjælp af skadelig software.
– De falske firmaer blev oprettet i New Mexico og New York i strid med OFAC- og FN-sanktioner.
Flere ofre er blevet angrebet af hvad der ser ud til at være en nordkoreansk kampagne, der sigter mod kryptoudviklere ved hjælp af falske amerikanske virksomheder.
Ifølge en Reuters-rapport blev to falske virksomheder, Blocknovas LLC og Softglide LLC, oprettet af nordkoreanske cyberspioner for at inficere udviklere i kryptoindustrien med skadelig software.
Ifølge det amerikanske cybersikkerhedsfirma Silent Push blev de falske virksomheder kontrolleret af en hacker-undergruppe af Nordkoreas Lazarus-gruppe – en del af Reconnaissance General Bureau, Pyongyangs vigtigste udenlandske efterretningsagentur. Firmaerne blev oprettet i New Mexico og New York ved hjælp af falske oplysninger, i strid med Office of Foreign Assets Control og FN-sanktioner.
En tredje virksomhed, Angeloper Agency, blev knyttet til kampagnen af Silent Push, men ser ikke ud til at være registreret i USA.
Torsdag lagde FBI en beslaglæggelsesmeddelelse på hjemmesiden for Blocknovas, hvilket sagde, at det blev beslaglagt “som led i en retshåndhævelsesaktion mod nordkoreanske cyberaktører, der brugte dette domæne til at bedrage individer med falske jobopslag og distribuere skadelig software.”
Angrebene brugte falske personer til at tilbyde jobsamtaler, hvorefter “sofistikerede malware-udrulninger” blev brugt til at kompromittere kryptokonti, få adgangskoder og stjæle legitimationsoplysninger.
Ifølge Silent Push har der været “flere ofre” af denne kampagne, hvor Blocknovas-fronten har været den mest aktive af de to.
Nordkoreas phishing-kampagner
Dette er blot det seneste eksempel på Nordkoreas cyberoperationer, som en FBI-tjenestemand beskrev som “måske en af de mest avancerede vedvarende trusler”, som USA står over for.
Nordkoreas Lazarus-gruppe, som var ansvarlig for februars 1,4 milliarder dollars hævning af kryptobørsen Bybit, menes nu at udvide sig til phishing-kampagner rettet mod kryptoindustrien.
Tidligere på måneden blev Manta-medstifter Kenny Li mål for et phishing-forsøg, der bar præg af Lazarus-gruppens MO, der brugte et falsk Zoom-opkald som vektor til at distribuere skadelig software. Og en nylig GTIG-rapport fandt, at nordkoreanske IT-arbejdere infiltrerer hold over hele USA, Storbritannien, Tyskland og Serbien, ved hjælp af falske cv’er og forfalskede dokumenter for at udgive sig for legitime udviklere.
FBI sagde, at de fortsætter med at “fokusere på at pålægge risici og konsekvenser, ikke kun på DPRK-aktørerne selv, men også på enhver, der letter deres evne til at gennemføre disse planer.”
Nordkoreanske hackere opretter falske amerikanske virksomheder for at målrette kryptoudviklere.
