Эксперты связали атаки на криптобиржи с северокорейской APT Lazarus

Длительная масштабная кампания, направленная на криптовалютные биржи по всему миру, может быть делом рук хакерской группировки Lazarus, которую эксперты связывают с правительством КНДР. К такому выводу пришли специалисты израильской ИБ-компании ClearSky, проанализировав наработки ряда специализирующихся на кибербезопасности компаний и организаций, изучивших похожие атаки.

В прошлом году ClearSky опубликовала отчет о вредоносной кампании под названием CryptoCore (она же Dangerous Password и Leery Turtle), целью которой были криптовалютные кошельки, принадлежащие криптобиржам или их сотрудникам. Начало кампании датируется 2018 годом, и за последующие три года преступникам удалось похитить миллионы долларов в криптовалюте у криптовалютных бирж в США, Израиле, Европе и Японии. Убытки от этих атак оцениваются в $200 млн.

На тот момент эксперты полагали, что виновником атак может быть русскоязычная группировка либо хакерская группа из Восточной Европы, однако отчеты ряда организаций, в частности F-Secure , Japanese CERT JPCERT/CC и NTT Security , выпущенные в последние несколько месяцев, позволяют предположить причастность к кампании Lazarus.

Специалисты ClearSky проанализировали индикаторы компрометации, представленные в докладах вышеозначенных организаций, и выявили ряд совпадений на уровне кода и в тактиках, техниках и процедурах, использованных в атаках CryptoCore. Все это позволяет предположить, что компании анализировали различные аспекты одной и той же масштабной операции.

О причастности Lazarus также свидетельствуют использованные в CryptoCore вредоносные инструменты, в частности троян для удаленного доступа под названием ntuser.cat, которые ранее были обнаружены в других атаках северокорейской группировки. С более подробной технической информацией можно ознакомиться в отчете ClearSky.