На прошлой неделе сообщалось, что северокорейская хакерская группа взломала американскую компанию по разработке корпоративного программного обеспечения JumpCloud, а затем использовала ее в качестве трамплина для дальнейшего проникновения в неопределенное количество криптовалютных компаний с целью кражи денег.
Исследователи безопасности теперь назвали причины, по которым они уверены, что за вторжением стоят северокорейские хакеры. Исследователи заявили, что хакеры допустили ошибку, незаконно проникнув в системы JumpClo. Согласно Mandiant, фирма по кибербезопасности и дочерняя компания Google, которая помогает одному из пострадавших клиентов JumpCloud, заявила, что хакеры работали на Генеральное бюро разведки Северной Кореи или RGB.
Говорят, что RGB нацеливается на криптовалютные компании и крадет пароли для кражи криптовалюты для финансирования программ создания ядерного оружия. «Mandiant связал эти вторжения UNC4899, связанному с Корейской Народно-Демократической Республикой (КНДР) субъекту связи, с атаками на американские компании с целью кражи криптовалюты», — говорится в блоге.
Какую ошибку совершили хакеры? Mandiant отметил, что хакеры используют VPN, чтобы скрыть свое местоположение и IP-адреса, чтобы их не поймали. Однако северокорейское хакерское подразделение по ошибке раскрыло свои IP-адреса. Это было связано с тем, что «во многих случаях» VPN не работали или хакеры не использовали их при доступе к сети жертвы. Эта операционная ошибка раскрыла их местоположение, и компания по кибербезопасности заметила, что злоумышленник входит непосредственно из IP-адреса Пхеньяна.
«Кроме того, Mandiant смогла обнаружить дополнительную инфраструктуру благодаря тому, что запись PTR никогда не менялась по сравнению с предыдущей атакой. Mandiant и ранее идентифицировала домен wasxxv[.]site, используемый северокорейскими злоумышленниками», — говорится в сообщении.
Ранее компания по кибербезопасности CrowdStrike Holdings и исследователь кибербезопасности Том Хегель также заявили, что вторжение в JumpCloud было совершено хакерами из Северной Кореи, которые научились взламывать программное обеспечение на очень хорошем уровне.
