Kumpulan Penjenayah CryptoCore

Penyelidik Infosec percaya bahawa mereka telah berjaya mendedahkan identiti kumpulan penjenayah siber yang bertanggungjawab untuk beberapa kempen serangan berjuta-juta yang menyasarkan kebanyakan pertukaran mata wang kripto. Kumpulan penggodam itu diberi nama CryptoCore oleh pakar keselamatan yang menjejaki aktivitinya. Laporan awal mengaitkan serangan itu kepada penggodam Eropah Timur, mungkin terletak di negara-negara dari rantau itu seperti Ukraine, Rusia dan Romania.

Berbilang vendor keselamatan siber membuat susulan laporan itu dengan mengeluarkan penemuan mereka sendiri mengenai operasi berniat jahat yang berbeza yang menunjukkan persamaan ketara dengan aktiviti yang diperhatikan oleh penyelidik keselamatan. Laporan F-SECURE mendedahkan butiran tentang kempen multinasional berskala besar terhadap dompet kripto, manakala CERT JPCERT/CC Jepun berkongsi penemuan mereka selepas analisis beberapa serangan terhadap firma Jepun. Bahagian terakhir ialah laporan daripada NTT Security, sebuah syarikat keselamatan siber Jepun, mengenai kempen yang mereka jejaki sebagai CRYPTOMIMIC.

Selepas menggabungkan dan membandingkan maklumat yang dikumpul, para penyelidik mempunyai bukti yang mencukupi untuk mengaitkan operasi CryptoCore dengan keyakinan sederhana hingga tinggi kepada kumpulan penggodam tajaan negara Korea Utara Lazarus. Ini mengesahkan kesimpulan yang telah ditetapkan oleh F-Secure sebelum ini.

Butiran Serangan CryptoCore

Serangan itu mula-mula dikesan pada tahun 2018 dan melibatkan taktik pancingan lembing yang direka untuk mendapat tempat dalam entiti yang disasarkan. Penggodam menganggap identiti berbeza dan memulakan hubungan dengan pengguna yang dipilih. Mangsa kemudian ditipu untuk memuat turun satu atau lebih fail yang rosak ke komputer mereka. Antara 2018 dan 2020, 5 kempen serangan berbeza telah ditentukan untuk menjadi sebahagian daripada operasi CryptoCore. Entiti yang terjejas termasuk tiga pertukaran mata wang kripto yang berbeza dan beberapa syarikat Jepun. Anggaran kerugian akibat penggodaman melebihi $200 juta.

Nampaknya penjenayah siber meluaskan skop aktiviti mereka dengan memasukkan sasaran Israel dalam operasi mereka baru-baru ini. Peralihan itu mungkin merupakan tanda pelarasan semula dalam fokus mereka atau penggodam mengejar syarikat yang sepadan dengan profil kewangan tertentu.