Firma Radiant Capital twierdzi, że za kradzieżą kryptowaluty o wartości 50 milionów dolarów stoją północnokoreańscy cyberprzestępcy, do której doszło po tym, jak hakerzy włamali się do jej systemów w cyberataku 16 października.
Przypisanie winy nastąpiło po zbadaniu incydentu przy wsparciu ekspertów ds. cyberbezpieczeństwa z Mandiant, którzy twierdzą, że atak przeprowadzili hakerzy powiązani z państwem Korei Północnej, znani jako Citrine Sleet, znani jako „UNC4736 i „AppleJeus”.
Stany Zjednoczone ostrzegały wcześniej, że północnokoreańskie podmioty cyberprzestępcze atakują firmy kryptowalutowe, giełdy i firmy zajmujące się grami, aby generować i prać pieniądze na rzecz działalności kraju.
Incydent z października
Radiant to zdecentralizowana platforma finansowa (DeFi), która pozwala użytkownikom wpłacać, pożyczać i zarządzać kryptowalutami w różnych sieciach blockchain.
Platforma wykorzystuje bezpieczeństwo blockchain Ethereum poprzez system skalowania Arbitrum Layer 2 i działa w ramach systemu zarządzanego przez społeczność, umożliwiającego użytkownikom udział w zarządzaniu poprzez blokady RDNT, składanie propozycji i głosowanie nad aktywnymi inicjatywami.
16 października 2024 roku Radiant ogłosił, że doznał naruszenia bezpieczeństwa o wartości 50 milionów dolarów spowodowanego 'wyrafinowanym złośliwym oprogramowaniem', które zaatakowało trzech zaufanych deweloperów, których urządzenia zostały skompromitowane w celu przeprowadzenia nieautoryzowanych transakcji.
Hakerzy wydają się wykorzystywać rutynowy proces multi-podpisu, zbierając ważne podpisy pod pretekstem błędów transakcji i kradnąc fundusze z rynków Arbitrum i Binance Smart Chain (BSC).
Atak ominął bezpieczeństwo portfeli sprzętowych i wiele warstw weryfikacji, a transakcje wydawały się normalne podczas ręcznych sprawdzeń i symulacji, co świadczy o wysokiej złożoności.
Palec wskazujący na Koreę Północną
Po wewnętrznym dochodzeniu w sprawie ataku, wspieranym przez Mandiant, Radiant może teraz podzielić się większą ilością informacji na temat używanego złośliwego oprogramowania i sprawców za nim stojących.
Atak rozpoczął się 11 września 2024 roku, kiedy programista Radiant otrzymał wiadomość na Telegramie podszywającą się pod byłego kontrahenta, co wprowadziło go w błąd i skłoniło do pobrania złośliwego pliku ZIP.
Archiwum zawierało plik PDF, który miał być użyty jako wabik oraz złośliwe oprogramowanie na macOS o nazwie 'InletDrift', które ustanowiło tylne drzwi na zainfekowanym urządzeniu.
Radiant twierdzi, że atak był tak dobrze zaprojektowany i bezbłędnie przeprowadzony, że ominął wszystkie dostępne środki bezpieczeństwa.
"Ten podstęp został przeprowadzony tak bezszwowo, że nawet przy standardowych najlepszych praktykach Radiant, takich jak symulowanie transakcji w Tenderly, weryfikacja danych ładunkowych i przestrzeganie standardowych procedur operacyjnych w każdym kroku, napastnicy byli w stanie skompromitować wiele urządzeń deweloperów," wyjaśnił Radiant.
"Interfejsy front-end wyświetlały nieszkodliwe dane transakcyjne, podczas gdy złośliwe transakcje były podpisywane w tle. Tradycyjne kontrole i symulacje nie wykazały oczywistych rozbieżności, co sprawiło, że zagrożenie było praktycznie niewidoczne podczas normalnych etapów przeglądu."
Mandiant ocenił z wysokim poziomem pewności, że atak został przeprowadzony przez UNC4736, tę samą grupę zagrożeń, która została ujawniona za wykorzystywanie luki zero-day w Google Chrome na początku tego roku.
Biorąc pod uwagę skuteczne ominięcie jego środków bezpieczeństwa, Radiant podkreśla potrzebę bardziej solidnych rozwiązań na poziomie urządzenia w celu zwiększenia bezpieczeństwa transakcji.
Jeśli chodzi o skradzione fundusze, platforma mówi, że współpracuje z amerykańskim wymiarem sprawiedliwości i zeroShadow w celu odzyskania jakichkolwiek możliwych kwot.
#BURNGMT #BinanceMEOpening $BTC
