BlueNorOff, sekcja sponsorowanej przez Północno Koreański reżim grupy hakerów Lazarus, podszywa się pod inwestorów zainteresowanych inwestowaniem w start-upy związane z kryptowalutami (tzw. Venture Capital – VC). Zgodnie z raportem U.S. Army opublikowanym w 2020 r., BlueNorOff to grupa około 1 700 hakerów, motywowanych finansowo przez rząd Północnej Korei, zaangażowanych w przestępczość finansową. Modus operandi tej grupy to z reguły długoterminowa ocena systemów celu oraz w konsekwencji atak mający wydrenować ofiarę z możliwie jak największej ilości środków finansowych.
Potwierdzone ataki tej grupy miały miejsce w Korei Południowej, Tajwanie, Turcji, Indiach czy Meksyku, jednak najbardziej znanym jest ten z 2016 r., w trakcie którego, z wykorzystaniem sieci SWIFT grupa próbowała wytransferować około 1 miliarda dolarów z konta należącego do Banku Bangladesz, prowadzonego w Banku Rezerwy Federalnej w Nowym Jorku. Dopiero po transferze ponad 100 milionów dolarów, Nowojorski Oddział Banków Rezerwy Federalnej zablokował pozostałe transakcje, ze względu na podejrzenia powstałe w związku z błędną pisownią zawartą w opisach transferów.
Zgodnie z najnowszymi doniesieniami, grupa BlueNorOff utworzyła ponad 70 fałszywych domen internetowych, które mają służyć do podszywania się pod firmy inwestycyjne oraz banki. Najczęściej mają one przybierać przede wszystkim postać znanych w środowisku firm Japońskich (np. Beyond Next Ventures, Mizuho Financial Group) oraz Amerykańskich. Głównym celem hakerów podszywających się pod firmy inwestycyjne, są startupy aktywnie wykorzystujące technologię smart contract, związane z DeFi oraz FinTechem. Północno Koreańscy hakerzy od 2017 r. mieli ukraść już ponad 1.2 miliarda dolarów, z czego 626 milionów dolarów wyłącznie w tym roku. Najnowsza metoda grupy opiera się o wysublimowany phishing. Podszywając się pod firmę inwestycyjną, hakerzy kontaktują się z zarządem startupu poszukującego kapitału, w toku rozmów podsuwają klientowi plik w formacie .doc, sugerującym standardowy dokument Worda lub odpowiednio np. .pptx, by upozorować prezentację. Otworzenie dokumentu podszywającego się pod ofertę, umowę, czy którykolwiek inny, zwyczajowo oczekiwany w związku z procesem inwestycyjnym dokument, skutkuje zainfekowaniem urządzenia szkodliwym oprogramowaniem. Od tego momentu BlueNorOff śledzi bieżące operacje spółki, planując atak. W momencie, w którym spółka będzie chciała przesunąć znaczne środki w kryptowalutach, hakerzy przejmują transakcje, zmieniają adres odbiorcy, jednocześnie ustawiając wartość transakcji na możliwie wysoką kwotę.
Światowe agencje wywiadowcze, w tym w szczególności Południowo Koreańska National Intelligence Service sugerują, iż Korea Północna wykorzystuje skradzione fundusze, by ratować swoją gospodarkę przed coraz dotkliwszymi sankcjami Organizacji Narodów Zjednoczonych. Nie wykluczone jest również, iż mają one służyć do rozwoju programu nuklearnego.
Powyższe kolejny raz potwierdza, iż w świecie kryptowalut należy niezmiennie działać z możliwie dużą ostrożnością. Nie tylko w kontaktach z różnego rodzaju usługodawcami, ale również potencjalnymi inwestorami.
Niniejszy alert ma charakter informacyjny i nie jest to porada prawna.
autor:
