ФБР: хакеры из Северной Кореи нацелились на поставщиков криптовалютных ETF

• В ФБР опубликовали новое публичное предупреждение.
• В нем сказано, что хакеры из КНДР нацелились на сотрудников криптокоммпаний и поставщиков ETF. 
• В агентстве считают, что злоумышленники используют сложные схемы с методиками социальной инженерии. 

Хакеры Северной Кореи (КНДР) проводят тщательно разработанные и трудноотслеживаемые кампании, нацеленные на сотрудников DeFi-фирм и поставщиков криптовалютных ETF. Это следует из нового публичного предупреждения Федерального бюро расследований (ФБР). 

Согласно этому документу, хакеры все чаще используют методы социальной инженерии. Эти схемы достаточно сложные, поэтому пострадать могут даже те пользователи, которые якобы разбираются в этой теме, считают в агентстве. 

«Киберпреступники из КНДР в последние несколько месяцев тщательно следили за целями, связанными с криптовалютными биржевыми фондами (ETF). Это включало предоперационную подготовку, предполагающую, что злоумышленники могут предпринять определенные злонамеренные действия против поставщиков, связанных с этими или другими финансовыми продуктами на базе криптоактивов», — говорится в отчете. 

В заметке агентства также приводится приблизительное описание тактики хакеров. Она включает в себя следующие этапы:

• предоперационная подготовка. Это поиск жертв, в том числе на платформах с резюме;
• проработка индивидуального сценария, задача которого — завлечь человека. Для этого могут использоваться факты из биографии жертвы. Такие сценарии включают предложения работы или заработка;
• создание фейковой личности. По мнению ФБР, хакеры могут использовать фото и данные человека, потенциально знакомого жертве. 

Кроме того, в отчете изложен перечень «красных флагов», которые могут свидетельствовать о попытке кибератаки:

• просьба загрузить фрагмент кода или постороннее ПО;
• попытка навязать выполнение якобы тестового задания, которое заключается в развертывании неизвестных пакетов Node.js, PyPI, скриптов или репозиториев GitHub;
• предложения о трудоустройстве от известных криптокомпаний с завышенными бонусами;
• предложения касательно высокодоходных инвестиций от популярных лиц или брендов;
• настойчивое требование об использовании нестандартного ПО;
• запрос на запуск определенного скрипта якобы для проведения звонка или конференции;
• просьба перенести переговоры на другую платформу или приложение;
• неожиданные ссылки, вложения от неизвестных контактов. 

Примером кибератаки с использованием методик социальной инженерии является кейс Axie Infinity. В апреле 2022 года группа неизвестных взломала сайдчейн Ronin, что привело к убыткам на $540 млн. 

Позднее оказалось, что хакеры получили доступ к валидаторам из-за ошибки одного из сотрудников . Тот откликнулся на фейковую вакансию. После загрузки анкеты в формате PDF злоумышленники получили доступ к его компьютеру.