Хорошо известно, что северокорейские IT-специалисты, с тягой к драматизму, теперь используют поддельные личности, чтобы проникнуть в криптокомпании и украсть цифровые активы на миллионы долларов посредством мошенничества с удаленной работой, согласно исследователям в области кибербезопасности из Google Cloud и Wiz. Кто бы мог подумать, что путь к богатству лежит в том, чтобы притворяться кем-то другим в LinkedIn? 🤷♂️
Мы не торгуем новостями, мы коллекционируем активы. Наш подход — как у реставратора: находить недооцененные шедевры (компании) и возвращать им истинную ценность в вашем портфеле.
Начать Свою Коллекцию- Операторы северокорейской хакерской группировки UNC4899 все чаще атакуют криптовалютные компании, потому что почему бы и нет?
- И группа использовала как инфраструктуру Google Cloud, так и AWS для краж криптовалюты на сумму в миллионы долларов. Это похоже на ограбление банка, но без необходимости носить маску грабителя. 🎉
Отдельные отчеты, опубликованные этими компаниями, отслеживают UNC4899, также известную как TraderTraitor, северокорейскую группировку угроз, связанную с военной разведкой страны. Потому что, если не можешь их победить, присоединись к ним и укради их криптовалюту. 💸
В соответствии с отчетом H2 2025 Cloud Threat Horizon о ситуации в облаке Google, UNC4899 действует под руководством Главного управления разведки Генерального штаба КНДР — основного иностранного разведывательного органа Северной Кореи. Это похоже на шпионский роман, только с большим количеством блокчейна и меньшим количеством мартини.
Группа продолжает оставаться активной с начала по крайней мере 2020 года, сосредотачиваясь на секторах блокчейна и криптовалют. При этом они используют продвинутые тактики социальной инженерии и специфические методы облачных атак. По сути, это технарные ниндзя в мире киберпространства.
Как группа UNC4899 внедрилась в облачные среды?
Google описала два отдельных инцидента, в которых UNC4899 скомпрометировал сотрудников разных организаций — один используя Google Cloud, другой AWS. В обоих случаях хакеры выдавали себя за рекрутеров по найму фрилансеров и связывались с сотрудниками через LinkedIn или Telegram. Кто не любит хорошее предложение о работе, верно? 🙌
После установления контакта они убеждали жертв выполнить вредоносные Docker-контейнеры на своих рабочих станциях, запуская загрузчики и бэкдоры, которые создавали связи с инфраструктурой, контролируемой злоумышленниками. Это как пригласить троянского коня в свою сеть, только на этот раз у коня есть USB-накопитель. 🐎
В течение нескольких дней группа перемещалась по внутренним сетям, собирала учетные данные и выявляла инфраструктуру, используемую для обработки криптовалютных транзакций. Это цифровое ограбление, и они — гении. 🧠
В одном случае UNC4899 удалось отключить многофакторную аутентификацию на привилегированной учетной записи Google Cloud для доступа к сервисам, связанным с кошельками. Украдя криптовалюту на несколько миллионов долларов, они снова включили MFA, чтобы избежать обнаружения. Это как ограбить сейф, а затем вежливо запереть его за собой. 🤭
В отдельном инциденте, связанном с AWS, злоумышленники использовали украденные долгосрочные ключи доступа, но столкнулись с ограничениями из-за принудительного использования жертвой временных учетных данных и политик MFA. Они обошли эти защиты, украв сессионные cookie, что позволило им манипулировать JavaScript-файлами, хранящимися в бакетах AWS S3. Это как найти черной вход, когда главная дверь заперта. 🚪
Эти файлы были изменены, чтобы перенаправить взаимодействие с криптокошельками на адреса, контролируемые злоумышленниками, что привело к еще одной многомиллионной краже. Это цифровой эквивалент ограбления банка, без автомобиля для побега. 🚗
масштабная операция
Облачная фирма по безопасности WiZ также проанализировала UNC4899 и опубликовала отдельные результаты, которые согласуются с выводами Google. Эксперты из WiZ отметили, что группа использовала несколько псевдонимов, включая Jade Sleet, Slow Pisces и TraderTraitor, каждый из которых относится к более широкому набору тактик, применяемых различными организациями северокорейского государства, такими как Lazarus Group, BlueNoroff и APT38. Это похоже на кто есть кто в киберпреступности, но с северокорейским уклоном. 🇰🇵
UNC4899 был активен с 2020 года, но только в 2023 году поддельные предложения о работе стали центральной тактикой, особенно в отношении сотрудников криптобирж, говорится в недавнем отчете фирмы. Это как ярмарка вакансий, но для преступников. 🏦
Среди наиболее известных взломов, приписываемых этой группе, выделяются взлом японской DMM Bitcoin на 305 миллионов долларов и взлом Bybit на 1,5 миллиарда долларов в конце 2024 года. Это огромные деньги и большие неприятности из-за нескольких строк кода. 💸
Wiz предупредил, что облачная инфраструктура остается постоянной точкой входа или использования при этих атаках, так как многие криптокомпании работают в облачных средах с ограниченными локальными защитами. Это похоже на то, как если бы вы оставили дом незапертым и удивлялись потом, почему вас ограбили. 🤔
Миллионы в криптовалюте потеряны
Оценки финансового ущерба варьируются, но остаются неизменно высокими. По данным Google и Wiz, только группа UNC4899 украла несколько миллионов долларов в каждом инциденте, в то время как более широкие данные, собранные частными исследователями и государственными учреждениями, указывают на еще большие убытки. Это много нулей и много головной боли. 😖
Отчет за 2024 год аналитической фирмы Chainalysis показал, что северокорейские хакеры украли 1,34 миллиарда долларов в криптовалюте только за этот год. В последнее время исследователи из Wiz оценили, что северокорейские злоумышленники похитили 1,6 миллиарда долларов в цифровых активах в 2025 году по состоянию на середину года. Это похоже на цифровую золотую лихорадку, но по неправильным причинам. 🏴☠️
Отдельно, независимый исследователь блокчейнов ZachXBt оценил, что от 345 до 920 северокорейских оперативников могли проникнуть на работу в криптовалютную индустрию, вместе получая более $16 миллионов заработной платы с начала 2025 года. Это способ заработать на жизнь, и они успешно справляются.
Смотрите также
- Прогноз цены на XDC: информация о криптовалюте XDC
- Кредитование Bitcoin переживает обновление: от громоздких банков до крипто-крестовых походов 🚀
- Прогноз цены на эфириум: информация о криптовалюте ETH
- Срочные новости: Ripple покупает Rail за 200 миллионов долларов — война за стейблкоины становится ещё острее! 🚀💸
- Акции привилегированные MGTSP. МГТС: прогноз акций привилегированных.
- Дом США объявляет 14 июля «Криптонеделю» – Потому что кто не любит хорошую драму с цифровыми валютами?
- Прогноз цены на SOL: информация о криптовалюте SOL
- Доллар обгонит шекель? Эксперты раскрыли неожиданный сценарий
- Прогноз цены на HYPE: информация о криптовалюте HYPE
- Акции MTSS. МТС: прогноз акций.
2025-08-05 10:13