CoinsPaid, una società di pagamenti in criptovaluta con sede in Estonia, ha sollevato il sospetto che il gruppo Lazarus, un gruppo di hacker della Corea del Nord, sia riuscito a violare i suoi sistemi utilizzando reclutatori ingannevoli che hanno preso di mira i dipendenti dell'azienda.
Secondo un post sul blog ufficiale , CoinsPaid ha rivelato che la violazione, che ha provocato il furto di oltre $ 37 milioni il 22 luglio, è stata orchestrata attraverso uno stratagemma in cui un dipendente è stato indotto a scaricare software con la scusa di un finto colloquio di lavoro, sotto il falsa veste di incarico tecnico.
La società ha rivelato che questo dipendente è caduto vittima di un'offerta di lavoro propagata dagli hacker, scaricando successivamente il codice dannoso che alla fine ha facilitato gli attori malevoli nel rubare dati sensibili e acquisire l'accesso non autorizzato all'infrastruttura della società di crittografia.
Finanziamento del programma nucleare illecito della Corea del Nord
Si sospetta che i furti di criptovalute forniscano sostegno finanziario all'iniziativa non ortodossa sulle armi nucleari della Corea del Nord, sulla base dell'analisi degli specialisti del settore. Il gruppo Lazarus, riconosciuto per il suo coinvolgimento in attacchi informatici, impiega spesso metodologie di hacking analoghe per prendere di mira scambi, blockchain e mixer, anche utilizzando indirizzi di wallet crittografici identici.
Sappiamo esattamente come gli aggressori hanno rubato e riciclato 37 milioni di dollari
CoinsPaid ha invitato una partnership con @MatchSystems , in collaborazione con le forze dell'ordine e le autorità di regolamentazione, accompagna il processo di restituzione delle risorse #crypto rubate.
Per saperne di più: https://t.co/jLF3ICo603 pic.twitter.com/0gDy9CJcS7
— CoinsPaid (@coinspaid) 7 agosto 2023
Questo schema di funzionamento ha portato CoinsPaid a trarre la conclusione che il famigerato collettivo di hacker, affiliato al governo nordcoreano, possa essere ritenuto responsabile del suddetto hack.
CoinsPaid ha detto:
"Avendo ottenuto l'accesso all'infrastruttura CoinsPaid, gli aggressori hanno approfittato di una vulnerabilità nel cluster e hanno aperto una backdoor".
Le conoscenze acquisite dagli autori nella fase di esplorazione hanno permesso loro di "riprodurre richieste legittime di interfacce di interazione" con la blockchain e "ritirare i fondi dell'azienda dal nostro caveau di archiviazione operativo", ha aggiunto CoinsPaid.
La ricerca semestrale di monete pagate dal gruppo Lazarus
Nell'arco di sei mesi, il Gruppo Lazarus si è impegnato in un intricato processo di meticolosa osservazione e ricerca degli intricati sistemi di CoinsPaid.
I loro sforzi comprendevano una vasta gamma di metodologie di attacco, che vanno dalle tattiche manipolative di ingegneria sociale ad approcci guidati tecnicamente come gli attacchi Distributed Denial-of-Service e implacabili tentativi di forza bruta, inviando ripetutamente numerose password nella speranza di imbattersi in quella corretta.
La saga è iniziata a marzo, quando gli hacker hanno iniziato il loro assalto all'azienda . L'azienda ha raccontato la raffica incessante e notevolmente aggressiva di campagne di spam e phishing dirette ai membri del suo team durante questo periodo.
In risposta, CoinsPaid ha deciso di collaborare con Match Systems, una società di sicurezza blockchain, per tracciare il percorso dei fondi rubati. La maggior parte di questi guadagni illeciti ha trovato la strada per SwftSwap.
Secondo CoinsPaid , una moltitudine di sfaccettature all'interno delle transazioni degli hacker presentava sorprendenti somiglianze con il modus operandi di Lazarus, simile alla violazione da 35 milioni di dollari di Atomic Wallet nel precedente mese di giugno. La società ha affermato il proprio impegno a monitorare con attenzione qualsiasi movimento associato a questi fondi rubati.
Immagine in evidenza da Kyodo/AP Photo