CryptoCore Criminal Group

Výskumníci z Infosec sa domnievajú, že sa im podarilo odhaliť identitu kyberzločineckej skupiny zodpovednej za niekoľko miliónových útočných kampaní zameraných prevažne na burzy kryptomien. Skupina hackerov dostala od bezpečnostných expertov, ktorí sledovali jej činnosť, názov CryptoCore. Pôvodná správa pripisovala útoky východoeurópskym hackerom, ktorí sa pravdepodobne nachádzali v krajinách tohto regiónu, ako je Ukrajina, Rusko a Rumunsko.

Viacerí predajcovia kybernetickej bezpečnosti na túto správu nadviazali zverejnením svojich vlastných zistení týkajúcich sa rôznych škodlivých operácií, ktoré vykazovali významné podobnosti s aktivitami pozorovanými výskumníkmi v oblasti bezpečnosti. Správa F-SECURE odhalila podrobnosti o rozsiahlej, nadnárodnej kampani proti kryptopeňaženkám, zatiaľ čo japonský CERT JPCERT/CC zdieľal svoje zistenia po analýze viacerých útokov proti japonským firmám. Posledným kúskom bola správa od NTT Security, japonskej spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou, týkajúca sa kampane, ktorú sledovali ako KRYPTOMIMICKÚ.

Po skombinovaní a porovnaní zhromaždených informácií mali vedci dostatok dôkazov na to, aby operácie CryptoCore pripísali so strednou až vysokou mierou istoty severokórejskej štátom podporovanej hackerskej skupine Lazarus. To potvrdilo závery, ktoré predtým stanovila spoločnosť F-Secure.

Podrobnosti o útoku na CryptoCore

Útoky boli prvýkrát zistené už v roku 2018 a zahŕňali taktiku spear-phishing navrhnutú na získanie oporu v cieľovej entite. Hackeri prevzali rôzne identity a nadviazali kontakt s vybranými používateľmi. Obete boli potom oklamané, aby si stiahli jeden alebo viac poškodených súborov do svojich počítačov. V rokoch 2018 až 2020 sa rozhodlo, že súčasťou operácií CryptoCore bude 5 rôznych útočných kampaní. Medzi kompromitované subjekty patrili tri rôzne burzy kryptomien a niekoľko japonských spoločností. Odhadované straty v dôsledku hackov presahujú 200 miliónov dolárov.

Zdá sa, že kyberzločinci rozširujú rozsah svojich aktivít zahrnutím izraelských cieľov do svojich nedávnych operácií. Posun môže byť znakom zmeny ich zamerania alebo toho, že hackeri idú po spoločnostiach, ktoré zodpovedajú konkrétnemu finančnému profilu.