Forscher verbinden CryptoCore Angriffe auf Cryptocurrency Exchanges mit Nordkorea

Cyber Security News

Staatlich geförderte Hacker, die mit Nordkorea verbunden sind, stecken hinter einer Reihe von Angriffen auf Kryptowährungsbörsen in den letzten drei Jahren, neue Beweise haben dies enthüllt.

Zuschreiben der Angriff mit “mittel-hoch” Wahrscheinlichkeit auf die Lazarus-Gruppe (aka APT38 oder Hidden Cobra), Forscher von israelischen Cybersecurity-Firma ClearSky sagte der Kampagne, genannt “CryptoCore,” gezielte Krypto-Börsen in Israel, Japan, Europa, und den USA, was in den Diebstahl von Millionen von Dollar Wert von virtuellen Währungen.

[Blocked Image: https://thehackernews.com/images/-VPdopHKQm-E/YHc_0fLCVlI/AAAAAAAA3w0/c2kzWXa0ALMLtjaAeSkI0cc7-FjPV3IswCLcBGAsYHQ/s728-e100/thn-728-4.png]

Die Ergebnisse sind eine Folge des Zusammenfügens von Artefakten aus einer Reihe von isolierten, aber ähnlichen Berichten, die von F-Secure, dem japanischen CERT JPCERT/CC und NTT Security in den letzten Monaten detailliert beschrieben wurden.

Seit ihrem Auftauchen im Jahr 2009 haben die Hidden Cobra-Akteure ihre offensiven Cyber-Fähigkeiten genutzt, um Spionage und Cyber-Kryptowährungsüberfälle auf Unternehmen und kritische Infrastrukturen durchzuführen. Die Ziele des Gegners stimmen mit den wirtschaftlichen und geopolitischen Interessen Nordkoreas überein, die in erster Linie durch finanziellen Gewinn motiviert sind, um internationale Sanktionen zu umgehen. In den letzten Jahren hat die Lazarus Group ihre Angriffe auf die Verteidigungs- und Luft- und Raumfahrtindustrie ausgeweitet.

[Blocked Image: https://thehackernews.com/images/-GhI3ZCS8x-A/YKvfPRBHkmI/AAAAAAAACnM/ymE_cC5SJ9EnsTvb_XWKzjN5BTns2sQMACLcBGAsYHQ/s0/code.jpg]

CryptoCore, auch CryptoMimic, Dangerous Password, CageyChameleon und Leery Turtle genannt, unterscheidet sich nicht von anderen Operationen der Lazarus Group, da es sich hauptsächlich auf den Diebstahl von Kryptowährungs-Wallets konzentriert.

Es wird vermutet, dass die Kampagne im Jahr 2018 begonnen hat. Der Modus Operandi der Kampagne besteht darin, Spear-Phishing als Einbruchsweg zu nutzen, um das Passwortmanager-Konto des Opfers in die Hand zu bekommen und es zu nutzen, um die Wallet-Schlüssel zu plündern und die Währungen auf eine Wallet im Besitz des Angreifers zu übertragen.

Die Gruppe soll schätzungsweise 200 Millionen Dollar gestohlen haben, laut einem ClearSky-Bericht, der im Juni 2020 veröffentlicht wurde und CryptoCore mit fünf Opfern in den USA, Japan und dem Nahen Osten in Verbindung brachte. Wenn man die Punkte verbindet, zeigen die neuesten Untersuchungen, dass die Operationen weiter verbreitet waren als zuvor dokumentiert, während gleichzeitig mehrere Teile des Angriffsvektors weiterentwickelt wurden.

Ein Vergleich der Indikatoren für eine Kompromittierung (Indicators of Compromise, IoCs) aus den vier öffentlichen Enthüllungen hat nicht nur genügend Überschneidungen im Verhalten und auf der Code-Ebene ergeben, sondern auch die Möglichkeit aufgeworfen, dass jeder der Berichte verschiedene Aspekte eines anscheinend groß angelegten Angriffs berührt hat.

Darüber hinaus bestätigte ClearSky nach eigenen Angaben die Zuordnung, indem es die in der CryptoCore-Kampagne eingesetzte Malware mit anderen Lazarus-Kampagnen verglich und starke Ähnlichkeiten fand.

“Diese Gruppe hat sich seit vielen Jahren erfolgreich in zahlreiche Unternehmen und Organisationen auf der ganzen Welt gehackt”, so die ClearSky-Forscher. “Bis vor kurzem war diese Gruppe nicht dafür bekannt, israelische Ziele anzugreifen.”

Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com