Hakerët e Koresë së Veriut vodhën kriptovaluta me vlerë rreth 400 milionë dollarë gjatë vitit 2021 përmes të paktën shtatë sulmeve. Analiza, e kryer nga Cainalysis, zbuloi se shumica e vjedhjeve ndodhën në Ethereum dhe Bitcoin, ku e para u bë kriptomonedha e zgjedhur për sulmuesit.
Në vitet e fundit, grupe hakerash që i atribuohen Koresë së Veriut kishin kryer gjithashtu sulme të tilla, por në vitin 2021 vlera e vjedhjeve arriti nivele rekord. Më i njohuri nga këto grupe është Lazarus, përgjegjës për sulmin e vitit 2014 ndaj Sony Pictures Entertainment dhe platformën legjitime të tregtimit të kriptomonedhave WannaCry 2017.
I njohur gjithashtu si APT 38, grupi është fokusuar në vjedhjen e kriptomonedhave me qëllim shmangien e sanksioneve ekonomike të SHBA-së dhe OKB-së. Një grup ekspertësh të OKB-së në vitin 2018 arriti në përfundimin se hakimet e kriptomonedhave kontribuojnë në financimin e programeve raketore të qeverisë së Koresë së Veriut.
Mjetet tipike përdoren për këtë lloj sulmi si inxhinieria sociale, phishing dhe shfrytëzimet. “Nga viti 2020 në 2021, numri i hakimeve të lidhura me Korenë e Veriut shkoi nga katër në shtatë dhe vlera e marrë nga këto sulme u rrit me 40%,” thotë Chainalysis në raportin e tij. Sipas Chainalysis, sulmet e hakerëve të Koresë së Veriut në vitin 2021 synonin kryesisht firmat e investimeve dhe shkëmbimet e kriptomonedhave.
Vitin e kaluar, hakerët koreano-veriorë u fokusuan kryesisht në Ethereum, pasi 68% e vlerës së vjedhur ishte në këtë kriptomonedhë, e cila zëvendësoi Bitcoin si kriptomonedhën kryesore në programet e sulmuesit. Bitcoin, megjithatë, ende luan një rol kyç në riciklimin e Eterit përpara parave të tij përfundimtare. Përzierësi i kriptomonedhave ose softueri “tumbler”, në fakt, i zbërthen fondet në sasi të vogla dhe i përzien ato me transaksione të tjera përpara se të dërgojë vlerën ekuivalente në një adresë të re. “Koreja e Veriut po pastron sistematikisht paratë përmes një mikser për të errësuar origjinën e kriptomonedhave të tyre të paligjshme përpara se t’i kthejë ato në monedhë tradicionale,” vëren raporti.
Sulmet u zbuluan nga Agjencia Amerikane e Sigurisë Kibernetike dhe Sigurisë së Infrastrukturës (CISA) dhe gjithashtu nga kompania e sigurisë kibernetike Kaspersky, e cila ka monitoruar ndërhyrjet që nga viti 2017, duke i identifikuar ato si “SnatchCrypto”.
Këto sulme bazohen në skemën e ndjekjes nga afër të startupeve FinTech duke shpikur skema të përpunuara inxhinierike sociale për të krijuar besim me objektivat duke u paraqitur si kapitalistë të ligjshëm sipërmarrës. Qëllimi është të bindë viktimat të hapin dokumente që përmbajnë malware që shkaktojnë një ngarkesë të krijuar për të ekzekutuar softuer me qëllim të keq që vjen nga një kanal i koduar nga një server i largët.
Një metodë alternative e përdorur për të aktivizuar zinxhirin e infeksionit është përdorimi i skedarëve të shkurtoreve të Windows (“.LNK”) për të rikuperuar malware. Ky është një skript i Visual Basic, i cili më pas shërben si pikënisje për të ekzekutuar një seri ngarkesash të ndërmjetme, përpara se të instaloni një derë të pasme të plotë me veçori për të marrë pamje nga ekrani, për të regjistruar goditjet e tastave, për të vjedhur të dhëna nga shfletuesi Chrome dhe për të ekzekutuar komanda.
Discussion about this post