Egy, az észak-koreai kormány által támogatott hekkercsoport bejutott egy amerikai informatikai menedzsmentcég rendszerébe, és ezt kihasználva, kriptopénzzel foglalkozó vállalatokat célzott meg – közölte csütörtökön az érintett cég, valamint kiberbiztonsági szakértők.
A pórul járt cég – a coloradói Louisville-i JumpCloud – blogbejegyzésében egészen pontosan az áll, hogy a hekkerek június végén arra használták fel a cég rendszereihez való hozzáférési jogukat, hogy “kevesebb mint 5” ügyfelet vegyenek célba.
A JumpCloud nem nevezte meg az érintett ügyfeleket
A CrowdStrike Holdings (CRWD) kiberbiztonsági cég – amely magának a JumpCloudnak nyújt segítséget – és az Alphabet tulajdonában lévő Mandiant (GOOGL) – mely a JumpCloud egyik ügyfelét támogatja – annyit elárultak, hogy a szóban forgó hekkerek már jól ismertek a kriptopénzlopásra irányuló tevékenységükről.
Két, az ügyet ismerő személy azt állítja, hogy a hekkerek által támadott JumpCloud-ügyfelek valóban kriptovalutával foglalkozó vállalatok voltak.
A JumpCloud termékeit egyébként arra használják, hogy segítsék velük a hálózati rendszergazdákat az eszközök és szerverek kezelését.
A mostani eset azt mutatja, hogy azok az észak-koreai kiberkémek, akik eddig megelégedtek azzal, hogy egyenként veszik célba a digitális valutával foglalkozó cégeket, most már olyanokat támadnak, akik által hozzáférhetnek egyszerre több áldozathoz is a downstream-en. Ez az úgynevezett “ellátási lánc elleni támadás” taktikája.
“Úgy gondolom, hogy Észak-Korea tényleg egyre jobban rákapcsol a játékra” – közölte Tom Hegel, aki a SentinelOne (S.N) amerikai cég munkatársa, és megerősítette a Mandiant és a CrowdStrike által közölt állításokat.
Phenjan New York-i ENSZ-képviselete eddig nem válaszolt a sajtó megkeresésére. Észak-Korea egyébként korábban már tagadta, hogy digitális valutarablások szervezője volna, pedig sok bizonyíték – köztük ENSZ jelentések – is bizonyítják ennek az ellenkezőjét.
A CrowdStrike a hekkereket “Labyrinth Chollima” néven ismeri. Ez az egyike azon csoportoknak, amelyek elvileg Észak-Korea nevében dolgoznak. A Mandiant azt is tudni véli, hogy a mostani ügyben felelős hackerek Észak-Korea elsődleges külföldi hírszerző ügynökségének, a Reconnaissance General Bureau-nak (RGB) dolgoztak.
Az Amerikai Kiberbiztonsági Ügynökség (Cybersecurity and Infrastructure Security Agency – CISA), valamint az FBI nem kívánt nyilatkozni.
A JumpCloudot ért támadás először július elején kapott nyilvánosságot, amikor a cég e-mailt küldött az ügyfeleinek, melyben közölte velük, hogy “egy folyamatban lévő incidens miatti óvatosságból” megváltoztatják a hitelesítő adataikat.
A JumpCloud a hekkelés időpontjául június 27-ét nevezi meg. A kiberbiztonsággal foglalkozó Risky Business két forrásra is hivatkozva pedig azt állította, hogy a gyanúsított egyértelműen Észak-Korea.
A Labyrinth Chollima Észak-Korea egyik legtermékenyebb hackercsoportja, és állítólag ő a felelős az elszigetelt ország néhány legmerészebb kiberbetöréséért. A kriptopénzek ellopása következtében hatalmas összegeket veszítettek el: a Chainalysis nevű blokkláncelemző cég tavaly azt állította, hogy az észak-koreaiakhoz kötődő csoportok hekkerekkel összefogva mintegy 1,7 milliárd dollár értékű digitális készpénzt tulajdonítottak el.
Adam Meyers, a CrowdStrike hírszerzésért felelős vezető alelnöke szerint Phenjan hackercsapatait komolyan kell venni.
“Nem gondolom, hogy ez volt az utolsó észak-koreai által az ellátási lánc ellen indított támadás ebben az évben” – mondta.