CryptoCore Criminal Group

Výzkumníci z Infosec se domnívají, že se jim podařilo odhalit identitu kyberzločinecké skupiny odpovědné za několik mnohamilionových útočných kampaní zaměřených převážně na burzy kryptoměn. Bezpečnostní experti, kteří sledovali její činnost, dali této hackerské skupině jméno CryptoCore. První zpráva připisovala útoky východoevropským hackerům, kteří se pravděpodobně nacházeli v zemích tohoto regionu, jako je Ukrajina, Rusko a Rumunsko.

Několik dodavatelů kybernetické bezpečnosti na tuto zprávu navázalo tím, že zveřejnilo svá vlastní zjištění týkající se různých škodlivých operací, které vykazovaly významné podobnosti s aktivitami pozorovanými bezpečnostními výzkumníky. Zpráva F-SECURE odhalila podrobnosti o rozsáhlé, nadnárodní kampani proti kryptopeněženkám, zatímco japonský CERT JPCERT/CC sdílel svá zjištění po analýze četných útoků proti japonským firmám. Posledním kusem byla zpráva od NTT Security, japonské společnosti zabývající se kybernetickou bezpečností, týkající se kampaně, kterou sledovali jako KRYPTOMIMICKÉ.

Po zkombinování a porovnání shromážděných informací měli vědci dostatek důkazů k tomu, aby operace CryptoCore se střední až vysokou spolehlivostí připsali severokorejské státem podporované hackerské skupině Lazarus. To potvrdilo závěry dříve stanovené společností F-Secure.

Podrobnosti o útoku na CryptoCore

Útoky byly poprvé zjištěny již v roce 2018 a zahrnovaly taktiku spear-phishing navrženou k získání oporu v cílové entitě. Hackeři převzali různé identity a zahájili kontakt s vybranými uživateli. Oběti byly poté oklamány, aby si stáhly jeden nebo více poškozených souborů do svých počítačů. Mezi lety 2018 a 2020 bylo stanoveno, že součástí operací CryptoCore bude 5 různých útočných kampaní. Mezi ohrožené subjekty patřily tři různé burzy kryptoměn a několik japonských společností. Odhadované ztráty v důsledku hacků přesahují 200 milionů dolarů.

Zdá se, že kyberzločinci rozšiřují rozsah svých aktivit tím, že do svých nedávných operací zahrnují i izraelské cíle. Posun může být známkou přeladění jejich zaměření nebo toho, že hackeři jdou po společnostech, které odpovídají konkrétnímu finančnímu profilu.