CryptoCore bűnözői csoport

Az Infosec kutatói úgy vélik, hogy sikerült feltárniuk annak a kiberbűnözői csoportnak a kilétét, amely több milliós, főleg kriptovaluta tőzsdéket célzó támadásért felelős. A hackercsoport a tevékenységét nyomon követő biztonsági szakértőktől a CryptoCore nevet kapta. Az első jelentés a támadásokat kelet-európai hackereknek tulajdonította, akik valószínűleg a régió országaiban, például Ukrajnában, Oroszországban és Romániában tartózkodtak.

Több kiberbiztonsági szolgáltató követte ezt a jelentést, közzétéve saját megállapításait a különböző rosszindulatú műveletekre vonatkozóan, amelyek jelentős hasonlóságot mutattak a biztonsági kutatók által megfigyelt tevékenységekkel. Az F-SECURE jelentése egy nagyszabású, multinacionális, kriptopénztárcák elleni kampány részleteit tárta fel, míg a japán CERT JPCERT/CC a japán cégek elleni többszöri támadás elemzése után osztotta meg megállapításait. Az utolsó rész az NTT Security, egy japán kiberbiztonsági cég jelentése volt egy kampányról, amelyet CRYPTOMIMIC-ként követtek nyomon.

Az összegyűjtött információk egyesítése és összehasonlítása után a kutatóknak elegendő bizonyítékuk volt ahhoz, hogy a CryptoCore-műveleteket közepesen vagy magasan az észak-koreai állam által támogatott Lazarus hackercsoportnak tulajdonítsák. Ez megerősítette az F-Secure által korábban megfogalmazott következtetéseket.

CryptoCore támadás részletei

A támadásokat először 2018-ban észlelték, és lándzsás adathalász taktikát tartalmaztak, hogy megvegyék a lábukat a megcélzott entitáson belül. A hackerek eltérő személyazonosságot vettek fel, és kapcsolatba léptek a kiválasztott felhasználókkal. Az áldozatokat ezután becsapták, hogy letöltsenek egy vagy több sérült fájlt a számítógépükre. 2018 és 2020 között 5 különböző támadási kampányt határoztak meg a CryptoCore-műveletek részeként. A kompromittált entitások között három különböző kriptovaluta tőzsde és több japán vállalat is szerepelt. A hackelések miatti becsült veszteségek meghaladják a 200 millió dollárt.

Úgy tűnik, hogy a kiberbűnözők kiterjesztik tevékenységük körét azáltal, hogy izraeli célpontokat is bevonnak közelmúltbeli műveleteikbe. Az eltolódás annak a jele lehet, hogy a fókuszuk megváltozott, vagy azt, hogy a hackerek olyan cégeket keresnek, amelyek megfelelnek egy adott pénzügyi profilnak.