Hakerska grupa koju podržava severnokorejska vlada prodrla je u američku IT kompaniju za upravljanje i iskoristila je kao odskočnu dasku za ciljanje nepoznatog broja kompanija za kriptovalute, prema dva izvora upoznata sa ovim pitanjem.
Hakeri su provalili u JumpCloud sa sedištem u Luisvilu u Koloradu krajem juna i iskoristili svoj pristup sistemima kompanije da ciljaju klijente njenih kompanija za kriptovalute u pokušaju da ukradu digitalni novac, rekli su izvori.
Hak pokazuje kako se severnokorejski sajber špijuni, koji su nekada bili zadovoljni hvatanjem kripto kompanija jednu po jednu, sada bore protiv kompanija koje im mogu dati pristup višestrukim izvorima bitkoina i drugih digitalnih valuta.
JumpCloud, koji je priznao hakovanje u postu na blogu prošle nedelje i okrivio za njega „sofisticiranog aktera pretnji sponzorisanog od nacionalne države“, nije odgovorio na Rojtersova pitanja o tome ko konkretno stoji iza hakovanja i koji klijenti su pogođeni. Rojters nije mogao da utvrdi da li je neka digitalna valuta na kraju ukradena kao rezultat hakovanja.
Firma za sajber bezbednost CrovdStrike Holdings, (CRVD.O) koja sarađuje sa JumpCloudom na istrazi kršenja, potvrdila je da iza kršenja stoji „Labirinth Chollima“ – ime koje daje određenom odredu severnokorejskih hakera.
Viši potpredsednik za obaveštajne poslove CrovdStrike Adam Meiers odbio je da komentariše šta su hakeri tražili, ali je primetio da su imali istoriju ciljanja ciljeva kriptovaluta.
„Jedan od njihovih primarnih ciljeva je stvaranje prihoda za režim“, rekao je on.
Misija Pjongjanga pri Ujedinjenim nacijama u Njujorku nije odmah odgovorila na zahtev za komentar. Severna Koreja je ranije poricala da je organizovala pljačke digitalnih valuta, uprkos obimnim dokazima – uključujući izveštaje UN – koji govore suprotno.
Nezavisno istraživanje podržalo je tvrdnju CrovdStrike-a.
Istraživač kibernetičke bezbednosti Tom Hegel, koji nije bio uključen u istragu, rekao je za Rojters da je upad u JumpCloud bio poslednji od nekoliko nedavnih kršenja koja su pokazala kako su Severnokorejci postali vešti u „napadima na lanac snabdevanja“ ili razrađenim hakovima koji rade tako što kompromituju softver ili dobavljače usluga kako bi ukrali podatke – ili novac – od korisnika nizvodno.
„Severna Koreja po mom mišljenju zaista pojačava svoju igru“, rekao je Hegel, koji radi za američku firmu SentinelOne. (S.N)
U postu na blogu koji će biti objavljen u četvrtak, Hegel je rekao da digitalni pokazatelji koje je objavio JumpCloud povezuju hakere sa aktivnostima koje su se ranije pripisivale Severnoj Koreji.
Američka agencija za sajber nadzor CISA i FBI odbili su da komentarišu.
Hak na JumpCloud – čiji se proizvodi koriste da pomognu administratorima mreže da upravljaju uređajima i serverima – prvi put se javno pojavio ranije ovog meseca kada je firma poslala e-poštu klijentima da će im reći da će njihovi akreditivi biti promenjeni „zbog velikog opreza u vezi sa incidentom koji je u toku“.
U postu na blogu koji je priznao da je incident bio hak, JumpCloud je pratio upad do 27. juna. Podcast Riski Business fokusiran na sajber bezbednost ranije ove nedelje citirao je dva izvora koji su rekli da je Severna Koreja osumnjičena za upad.
Lavirint Čolima je jedna od najplodnijih hakerskih grupa u Severnoj Koreji i kaže se da je odgovorna za neke od najhrabrijih i najrazornijih sajber upada u izolovanu zemlju. Njena krađa kriptovalute dovela je do gubitka suma koje su zasuzele oči: analitička kompanija za blokčejn Chainalisis rekla je prošle godine da su grupe povezane sa Severnom Korejom ukrale digitalni keš u vrednosti od 1,7 milijardi dolara putem više hakova.
Majers iz Kraudstrika rekao je da se hakerske ekipe Pjongjanga ne smeju potcenjivati.
„Ne mislim da je ovo poslednji napad na severnokorejski lanac snabdevanja koji ćemo videti ove godine“, rekao je on.