- Hackers deden zich voor als recruiters in nep-sollicitatiegesprekken.
- Malware die gebruikt wordt om crypto-wallets en inloggegevens te stelen.
- Frontfirma’s zijn te traceren naar adressen in South Carolina en Buffalo.
De geheime cyberoorlogsstrategie van Noord-Korea heeft een nieuwe wending genomen, nu Amerikaanse federale onderzoekers een uitgebreide cryptogerelateerde malwarecampagne hebben ontdekt die wordt uitgevoerd door frontbedrijven die zich voordoen als legitieme wervingsbureaus voor techbedrijven.
Volgens een rapport dat vrijdag door Reuters werd gepubliceerd , hebben hackers die samenwerken met de Noord-Koreaanse overheid nepbedrijven opgericht om schadelijke software te verspreiden die gericht is op cryptoontwikkelaars.
Het doel: digitale activa en gevoelige inloggegevens stelen en tegelijkertijd sancties en controle ontwijken.
De FBI heeft, in samenwerking met het cybersecuritybedrijf Silent Push, een belangrijk onderdeel van deze operatie ontmanteld door het webdomein van een van de betrokken entiteiten, Blocknovas LLC, in beslag te nemen.
Deze stap markeert een bredere aanpak van door staten gesponsorde cyberdreigingen die de cryptowereld misbruiken.
Drie frontbedrijven geïdentificeerd in Noord-Koreaanse oplichting
Centraal in de operatie stonden drie bedrijven: Blocknovas LLC, Softglide LLC en Angeloper Agency. Deze bedrijven waren opgericht met behulp van vervalste adressen in de VS.
Blocknovas en Softglide waren officieel geregistreerd in respectievelijk New Mexico en New York, terwijl Angeloper schijnbaar zonder de juiste registratie opereerde.
Openbare documenten die Reuters heeft ingezien, tonen aan dat Blocknovas geregistreerd stond op een leegstaand perceel in South Carolina, en de documenten van Softglide waren gelinkt aan een bescheiden belastingadviesbureau in Buffalo.
De FBI bevestigde donderdag dat het het domein van Blocknovas in beslag had genomen.
Volgens Silent Push is dit de meest actieve van de drie entiteiten en heeft het al meerdere slachtoffers in de cryptowereld gecompromitteerd.
Deze bedrijven zouden worden geleid door cybercriminelen met banden met de Lazarus Group, een eenheid van het Noord-Koreaanse Reconnaissance General Bureau.
Deze instantie houdt toezicht op een groot deel van Pyongyangs buitenlandse inlichtingen- en hackoperaties.
Malware verspreid via nep-sollicitatiegesprekken
De gebruikte techniek was zowel misleidend als effectief. Volgens de FBI en Silent Push deden Noord-Koreaanse hackers zich voor als recruiters die nietsvermoedende cryptoontwikkelaars nep-sollicitatiegesprekken aanboden.
Deze ontwikkelaars werden gelokt door lucratieve aanbiedingen en uiteindelijk verleid tot het downloaden van malware.
Nadat de malware was geïnstalleerd, kregen aanvallers toegang tot cryptowallets en ontwikkelomgevingen, waardoor ze ongeautoriseerde transacties konden uitvoeren en vertrouwelijke inloggegevens konden stelen.
De hele campagne lijkt niet alleen bedoeld om geld te stelen, maar ook om diepere inbreuken mogelijk te maken op platforms die digitale activa bouwen of beheren.
Dergelijke tactieken worden gezien als een doorontwikkeling van eerdere cyberaanvallen in Noord-Korea, waarbij de verspreiding van malware en phishingpogingen vooral gericht waren op beurzen en DeFi-protocollen.
Crypto-misdaden worden gezien als belangrijke inkomstenbron voor wapenprogramma
Deze malwarecampagne onderstreept de toenemende afhankelijkheid van Noord-Korea van cybercriminaliteit om zijn internationale ambities te financieren.
Uit VN-rapporten en onafhankelijke onderzoeken is gebleken dat het regime steeds vaker cryptovaluta steelt om zijn nucleaire en ballistische raketprogramma’s te financieren.
In 2022 werd het regime in verband gebracht met de beruchte Axie Infinity-hack, die resulteerde in verliezen van meer dan 600 miljoen dollar.
Onlangs is aan het licht gekomen dat duizenden IT-professionals naar het buitenland zijn gestuurd om in het geheim voor bedrijven te werken. In ruil voor cryptobetalingen worden deze vervolgens teruggesluisd naar de schatkist van Noord-Korea.
Al deze inspanningen vormen een directe schending van de sancties die zijn opgelegd door het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën en van diverse resoluties van de Verenigde Naties die erop gericht zijn de toegang van Noord-Korea tot internationale financieringskanalen te beperken.
Terwijl het onderzoek doorgaat, waarschuwen experts op het gebied van cyberbeveiliging dat er mogelijk meer van dergelijke dekmantelbedrijven zullen bestaan en dat ontwikkelaars en cryptobedrijven hun due diligence-processen moeten aanscherpen wanneer ze worden benaderd met ongevraagde aanbiedingen voor banen.
The post FBI neemt crypto-zwendeldomein in beslag dat verband houdt met de Noord-Koreaanse Lazarus Group appeared first on CoinJournal.