За кражей у криптобржи Radiant Capital стоит КНДР

Radiant Capital подтвердила, что за кражей $50 миллионов с платформы в октябре стоят хакеры, связанные с Северной Кореей. Расследование установило, что атаку провела группировка Citrine Sleet (UNC4736, AppleJeus).

О краже средств Radiant Capital сообщила поздно вечером 16 октября. Злоумышленники использовали сложное вредоносное ПО, чтобы взломать устройства трёх доверенных разработчиков, пишет Securitylab. Затем хакеры провели несанкционированные транзакции, маскируя их под ошибки в процессе подписи. Средства были выведены с рынков Arbitrum и Binance Smart Chain (BSC).

Расследование показало, что атака началась 11 сентября. Один из разработчиков Radiant получил сообщение в Telegram от лица, выдававшего себя за бывшего подрядчика. Злоумышленники отправили архив с вредоносным ПО. Внутри содержались поддельный PDF-документ и вредоносный файл для macOS под названием «InletDrift», который установил скрытый доступ на устройство.

С помощью вредоносного ПО атакующие внедрили свои транзакции, которые в интерфейсе платформы отображались как легитимные. Даже при проверке транзакций вручную и через симуляцию не обнаруживалось признаков подозрительной активности, что подчёркивает высокий уровень подготовки атаки.

Эксперты Mandiant с высокой степенью уверенности заявили, что за атакой стоит группировка UNC4736, ранее известная эксплуатацией уязвимости нулевого дня в Google Chrome. Специалисты отмечают, что атака была настолько тщательно спланирована, что смогла обойти все стандартные меры защиты аппаратных кошельков и многоуровневую верификацию.