Криминальная группа CryptoCore

Исследователи Infosec считают, что им удалось раскрыть личность киберпреступной группы, ответственной за несколько многомиллионных атак, направленных в основном на обмен криптовалюты. Эксперты по безопасности, отслеживающие ее деятельность, назвали группу хакеров CryptoCore. Первоначальный отчет приписывает атаки хакерам из Восточной Европы, возможно, находящимся в таких странах региона, как Украина, Россия и Румыния.

Несколько поставщиков кибербезопасности последовали этому отчету, опубликовав свои собственные выводы о различных вредоносных операциях, которые показали значительное сходство с действиями, наблюдаемыми исследователями безопасности. Отчет F-SECURE раскрыл подробности крупномасштабной многонациональной кампании против криптовалютных кошельков, а японский CERT JPCERT / CC поделился своими выводами после анализа нескольких атак на японские фирмы. Последней частью был отчет NTT Security, японской компании, занимающейся кибербезопасностью, о кампании, которую они отслеживали как CRYPTOMIMIC.

После объединения и сравнения собранной информации у исследователей было достаточно доказательств, чтобы со средней или высокой степенью достоверности приписать операции CryptoCore спонсируемой государством Северной Кореи хакерской группе Lazarus. Это подтвердило выводы, ранее сделанные F-Secure.

Подробности атаки CryptoCore

Атаки были впервые обнаружены еще в 2018 году и включали тактику целевого фишинга, направленную на закрепление за объектом атаки. Хакеры взяли разные личности и инициировали контакт с выбранными пользователями. Затем жертв обманом заставили загрузить один или несколько поврежденных файлов на свои компьютеры. В период с 2018 по 2020 год было определено, что в рамках операций CryptoCore было проведено 5 различных атак. Скомпрометированные объекты включали три различных криптовалютных биржи и несколько японских компаний. Предполагаемые убытки в результате взломов превышают 200 миллионов долларов.

Похоже, что киберпреступники расширяют сферу своей деятельности, включая израильские цели в свои недавние операции. Сдвиг может быть признаком изменения их фокуса или того, что хакеры преследуют компании, соответствующие определенному финансовому профилю.