Un'importante azienda tecnologica americana è stata recentemente attaccata da un gruppo di criminali informatici nordcoreani che tentava di prendere di mira i suoi clienti basati su criptovalute. Nel suo blog aziendale, Jumpcloud, una società di gestione IT con sede a Louisville, in Colorado, ha riferito che gli hacker della Corea del Nord hanno fatto irruzione nel suo sistema alla fine di giugno.
Gli hacker nordcoreani irrompono in Jumpcloud
Sebbene Jumpcloud non sia stato inizialmente in grado di confermare i dettagli sull'attacco, ora è uscito per condividere ulteriori dettagli. Attraverso le sue indagini con la società americana di tecnologia per la sicurezza informatica CrowdStrike, Jumpcloud è stata in grado di determinare che gli hacker provenivano dalla Corea del Nord ed erano supportati dal suo governo.
Jumpcloud ospita oltre 200.000 aziende e organizzazioni che utilizzano le sue funzioni di identità, accesso, sicurezza e gestione dell'infrastruttura IT.
Ma secondo Reuters, due persone che hanno familiarità con la questione hanno confermato che i client JumpCloud presi di mira dagli hacker erano solo società di criptovalute. Jumpcloud ha anche confermato che sono stati interessati meno di 5 clienti JumpCloud e meno di 10 dispositivi in totale.
L'ascesa della criminalità informatica sponsorizzata dallo stato e del furto di criptovalute
Al momento non è chiaro quanti danni siano stati causati dagli hacker prima che la violazione della sicurezza venisse notata, ma Jumpcloud afferma di aver adottato le misure appropriate per eliminare la minaccia. Jumpcloud ha anche cambiato le sue chiavi API a seguito della violazione.
Sebbene l'attacco sia stato rilevato e sventato prima che si verificassero danni gravi, mostra la minaccia prevalente di malintenzionati dello stato-nazione, in particolare la Corea del Nord, che prendono di mira le società crittografiche. L'attacco a Jumpcloud dimostra che questi criminali informatici stanno intensificando il loro gioco e prendono di mira le aziende che possono fornire loro un accesso più ampio a più vittime.
"Non credo che questo sia l'ultimo attacco alla catena di approvvigionamento nordcoreano che vedremo quest'anno", ha affermato Adam Meyers, vicepresidente senior per l'intelligence di CrowdStrike.
Il gruppo di hacker noto come Labyrinth Chollima è uno dei numerosi gruppi che si presume operi per conto della Corea del Nord. Un altro importante sindacato di hacker con sede in Corea del Nord è il Lazarus Group, noto per i suoi audaci attacchi a società e progetti crittografici. E questi hacker nordcoreani sponsorizzati dallo stato sono diventati abili nell'infiltrarsi nei sistemi IT stranieri per rubare criptovaluta e altre risorse digitali.
Secondo Chainalysis, il 2022 è stato l'anno più importante per questi hacker coreani, che hanno rubato criptovalute per un valore stimato di 1,7 miliardi di dollari attraverso diversi hack. La maggior parte di questi attacchi proveniva da violazioni dei protocolli DeFi. In un solo attacco, centinaia di milioni di dollari di criptovaluta sono stati portati via da Axie Infinity, un popolare gioco basato su blockchain. Tuttavia, la Corea del Nord ha negato tutte le accuse in merito.