15/04/25
Счёт похищенного составил почти $1,5 миллиарда. Чтобы скрыть следы, злоумышленники мгновенно раскидали средства по десяткам кошельков и платформ, после чего начали их обналичивать.
По всем признакам за атакой стояла северокорейская группировки TraderTraitor. Несмотря на колоссальные потери, биржа осталась на плаву, воспользовавшись займами в криптовалюте, а также объявила вознаграждение за помощь в поиске украденных активов, пишет Securitylab. Почти сразу после инцидента ФБР указало на TraderTraitor — подразделение известной Lazarus Group, действующее под эгидой разведки КНДР.
Группа не впервые попадает в поле зрения следователей. Она уже связывалась с громкими хищениями криптовалюты и компрометацией цепочек поставок программного обеспечения. По словам специалистов, TraderTraitor активно охотится на сотрудников Web3-компаний, особенно разработчиков, с помощью продуманных фишинговых сообщений. Они тщательно отслеживают, кто работает в индустрии, создают фейковые аккаунты в GitHub, Telegram, LinkedIn и Slack, а также заражают жертв вредоносным кодом.
Одним из элементов стратегии является применение уникальных бэкдоров, таких как PLOTTWIST и TIEDYE, предназначенных для macOS. Эти инструменты маскируются и дают возможность скрытно перемещаться внутри сетей, не вызывая тревоги. После получения доступа к криптовалютным активам, преступники начинают сложную процедуру отмывания средств, описанную аналитиками Elliptic. Они разбивают украденное на множество частей, переводят средства через десятки кошельков, обменивают токены на более устойчивые к заморозке активы — такие как Ethereum и Bitcoin — и прогоняют всё через миксеры.
Постепенно группа повышает уровень организации и изощрённости. Специалисты Unit 42 обнаружили новый инструмент RN Loader, который устанавливает похищающий данные модуль, а затем удаляет себя, снижая шанс быть замеченным. Такие действия говорят о растущем внимании к маскировке и постоянному присутствию в системах.
Среди ключевых факторов эффективности северокорейской киберпрограммы — скоординированность и взаимосвязь различных подразделений. Некоторые специалисты считают, что между хакерами и подставными IT-работниками , внедряемыми в западные компании, может быть тесное взаимодействие. Они могут действовать синхронно — одни извлекают прибыль, другие выкачивают информацию или шантажируют бывших работодателей.
