CryptoCore Criminal Group

Οι ερευνητές της Infosec πιστεύουν ότι κατάφεραν να αποκαλύψουν την ταυτότητα της κυβερνοεγκληματικής ομάδας που είναι υπεύθυνη για πολλές εκστρατείες επιθέσεων πολλών εκατομμυρίων που στοχεύουν κυρίως σε ανταλλακτήρια κρυπτονομισμάτων. Στην ομάδα χάκερ δόθηκε το όνομα CryptoCore από τους ειδικούς ασφαλείας που παρακολουθούσαν τη δραστηριότητά της. Μια αρχική αναφορά απέδωσε τις επιθέσεις σε ανατολικοευρωπαίους χάκερ, που πιθανώς εντοπίζονται σε χώρες της περιοχής όπως η Ουκρανία, η Ρωσία και η Ρουμανία.

Πολλοί προμηθευτές κυβερνοασφάλειας ακολούθησαν αυτήν την αναφορά δημοσιεύοντας τα δικά τους ευρήματα σχετικά με διαφορετικές κακόβουλες λειτουργίες που εμφάνιζαν σημαντικές ομοιότητες με τις δραστηριότητες που παρατηρήθηκαν από ερευνητές ασφαλείας. Μια έκθεση της F-SECURE αποκάλυψε λεπτομέρειες σχετικά με μια μεγάλης κλίμακας, πολυεθνική εκστρατεία κατά των κρυπτογραφικών πορτοφολιών, ενώ η CERT JPCERT/CC της Ιαπωνίας μοιράστηκε τα ευρήματά της μετά από ανάλυση πολλαπλών επιθέσεων κατά ιαπωνικών εταιρειών. Το τελευταίο κομμάτι ήταν μια αναφορά από την NTT Security, μια ιαπωνική εταιρεία κυβερνοασφάλειας, σχετικά με μια καμπάνια που παρακολούθησαν ως CRYPTOMIMIC.

Αφού συνδύασαν και συνέκριναν τις πληροφορίες που συγκεντρώθηκαν, οι ερευνητές είχαν αρκετά στοιχεία για να αποδώσουν τις λειτουργίες του CryptoCore με μέτρια έως υψηλή εμπιστοσύνη στην ομάδα hacking Lazarus που χρηματοδοτείται από το κράτος της Βόρειας Κορέας. Αυτό επιβεβαίωσε τα συμπεράσματα που είχε προηγουμένως καθορίσει η F-Secure.

Στοιχεία επίθεσης CryptoCore

Οι επιθέσεις εντοπίστηκαν για πρώτη φορά το 2018 και περιελάμβαναν τακτικές spear-phishing που είχαν σχεδιαστεί για να αποκτήσουν έδαφος εντός της στοχευόμενης οντότητας. Οι χάκερ ανέλαβαν διαφορετικές ταυτότητες και ξεκίνησαν επαφή με τους επιλεγμένους χρήστες. Στη συνέχεια, τα θύματα εξαπατήθηκαν για να κατεβάσουν ένα ή περισσότερα κατεστραμμένα αρχεία στους υπολογιστές τους. Μεταξύ 2018 και 2020, 5 διαφορετικές εκστρατείες επίθεσης καθορίστηκαν ως μέρος των λειτουργιών CryptoCore. Οι παραβιασμένες οντότητες περιελάμβαναν τρία διαφορετικά ανταλλακτήρια κρυπτονομισμάτων και αρκετές ιαπωνικές εταιρείες. Οι εκτιμώμενες απώλειες ως αποτέλεσμα των hacks ξεπερνούν τα 200 εκατομμύρια δολάρια.

Φαίνεται ότι οι κυβερνοεγκληματίες επεκτείνουν το εύρος των δραστηριοτήτων τους συμπεριλαμβάνοντας ισραηλινούς στόχους στις πρόσφατες επιχειρήσεις τους. Η μετατόπιση μπορεί να είναι ένδειξη αναπροσαρμογής στην εστίασή τους ή ότι οι χάκερ κυνηγούν εταιρείες που ταιριάζουν με ένα συγκεκριμένο οικονομικό προφίλ.