CryptoCore Criminal Group

Infosecin tutkijat uskovat, että he ovat onnistuneet paljastamaan kyberrikollisryhmän henkilöllisyyden, joka on vastuussa useista useista miljoonista hyökkäyskampanjoista, jotka kohdistuvat pääasiassa kryptovaluuttapörsseihin. Hakkeriryhmä sai nimen CryptoCore sen toimintaa seuranneilta tietoturvaasiantuntijoilta. Alkuperäisen raportin mukaan hyökkäykset johtuivat itäeurooppalaisista hakkereista, jotka mahdollisesti sijaitsevat alueen maissa, kuten Ukrainassa, Venäjällä ja Romaniassa.

Useat kyberturvallisuustoimittajat seurasivat raporttia julkistamalla omia havaintojaan erilaisista haitallisista toiminnoista, jotka osoittivat merkittäviä yhtäläisyyksiä tietoturvatutkijoiden havaitsemien toimien kanssa. F-SECURE-raportti paljasti yksityiskohtia laajasta, monikansallisesta kampanjasta kryptolompakoita vastaan, kun taas japanilainen CERT JPCERT/CC jakoi havaintojaan analysoituaan useita japanilaisia yrityksiä vastaan tehtyjä hyökkäyksiä. Viimeinen kappale oli japanilaisen kyberturvallisuusyrityksen NTT Securityn raportti kampanjasta, jota he seurasivat CRYPTOMIMIC-kampanjana.

Yhdistettyään ja vertailtuaan kerättyjä tietoja tutkijoilla oli tarpeeksi näyttöä voidakseen katsoa CryptoCore-toiminnan keskipitkällä tai korkealla luotettavuudella Pohjois-Korean valtion tukeman hakkerointiryhmän Lazaruksen ansioksi. Tämä vahvisti F-Securen aiemmin tekemät johtopäätökset.

CryptoCore-hyökkäyksen tiedot

Hyökkäykset havaittiin ensimmäisen kerran jo vuonna 2018, ja ne sisälsivät keihäs-phishing-taktiikoita, joiden tarkoituksena oli saada jalansija kohteena olevassa yhteisössä. Hakkerit omaksuivat erilaiset henkilöllisyydet ja ottivat yhteyttä valittuihin käyttäjiin. Uhrit huijattiin sitten lataamaan yksi tai useampi vioittunut tiedosto tietokoneilleen. Vuosina 2018–2020 CryptoCore-toimintoihin määritettiin 5 erilaista hyökkäyskampanjaa. Kompromitoituneisiin kokonaisuuksiin kuului kolme erilaista kryptovaluuttapörssiä ja useita japanilaisia yrityksiä. Hakkeroinnin seurauksena arvioidut tappiot ylittävät 200 miljoonaa dollaria.

Vaikuttaa siltä, että kyberrikolliset laajentavat toimintansa laajuutta sisällyttämällä Israelin kohteita viimeaikaisiin toimintoihinsa. Muutos voi olla merkki heidän painopisteensä sopeutumisesta tai siitä, että hakkerit etsivät yrityksiä, jotka vastaavat tiettyä taloudellista profiilia.