Il Federal Bureau of Investigation (FBI) ha ufficialmente attribuito il recente attacco informatico da 1,5 miliardi di dollari all'exchange di criptovalute Bybit al gruppo Lazarus, sponsorizzato dallo stato della Corea del Nord. L'attacco, avvenuto il 21 febbraio, ha visto gli hacker infiltrarsi in uno dei portafogli freddi di Bybit e rubare oltre 41.000 ETH.
Questa violazione si aggiunge ad un elenco crescente di rapine di criptovalute di alto profilo orchestrate da entità di hacking nordcoreani.
Le autorità statunitensi lanciano l'allarme sui furti di criptovalute della Corea del Nord
In un Cybersecurity Advisory (CSA) congiunto emesso dall’FBI, dalla Cybersecurity and Infrastructure Security Agency (CISA) e dal Dipartimento del Tesoro degli Stati Uniti, le autorità hanno messo in guardia sui crescenti rischi informatici posti dai gruppi APT (Advanced Persistent Threat) sostenuti dalla Corea del Nord.
Il gruppo Lazarus, noto anche con alias come APT38, BlueNoroff e Stardust Chollima, conduce operazioni di furto informatico almeno dal 2020. L'entità è nota per prendere di mira sistematicamente scambi di criptovaluta, protocolli di finanza decentralizzata (DeFi), piattaforme di gioco play-to-earn, nonché società di venture capital che investono in asset digitali.
L'avviso delinea le tattiche del gruppo, che includono ingegneria sociale, campagne di spearphishing e l'implementazione di applicazioni di criptovaluta sottoposte a trojan per infiltrarsi nelle reti ed esfiltrare fondi.
Secondo le autorità statunitensi, gli hacker nordcoreani utilizzano sofisticati ceppi di malware, tra cui il famigerato malware AppleJeus, per compromettere le piattaforme di criptovaluta. Questi attori informatici sfruttano spesso le vulnerabilità delle società di tecnologia finanziaria e delle infrastrutture blockchain per riciclare risorse digitali rubate, incanalando infine i fondi verso il regime nordcoreano.
“CommercianteTraditore”
L' hacking di Bybit segue uno schema familiare, con gli aggressori che utilizzano tattiche di reclutamento ingannevoli per indurre i dipendenti a scaricare applicazioni di trading compromesse, denominate "TraderTraitor". Queste applicazioni sono progettate con JavaScript multipiattaforma e Node.js per farle sembrare legittime, ma contengono malware nascosto che consente agli aggressori di ottenere accesso non autorizzato alle chiavi private e avviare transazioni blockchain fraudolente.
Con l'intensificarsi delle operazioni di furto informatico in Corea del Nord, il governo degli Stati Uniti ha ribadito il proprio impegno nella lotta alle attività illecite nel settore delle criptovalute. L'FBI esorta le società di criptovaluta a rafforzare le misure di sicurezza informatica, monitorare gli indicatori di compromissione (IOC) e implementare robusti protocolli di sicurezza per mitigare i rischi associati alle minacce informatiche sostenute dalla Corea del Nord.
Il post L'FBI collega un attacco informatico bybit da 1,5 miliardi di dollari al gruppo Lazarus della Corea del Nord è apparso per la prima volta su CryptoPotato .