Северокорейские хакеры используют поддельные американские компании для взлома крипторазработчиков

Согласно документам, поданным в США, и результатам исследований, предоставленным агентству Reuters, северокорейские киберпреступники незаметно создали две компании с ограниченной ответственностью в Соединенных Штатах и ​​использовали их для распространения вредоносного кода среди ищущих работу инженеров-программистов в мире криптовалют.

Компания Silent Push, специализирующаяся на кибербезопасности, утверждает, что компании Blocknovas LLC в Нью-Мексико и Softglide LLC в Нью-Йорке были созданы под вымышленными названиями и с использованием арендованных адресов, чтобы хакеры могли выглядеть как законные работодатели, рассылая вредоносное ПО соискателям. Третья фирма, Angeloper Agency, имелаdentвредоносные веб-отпечатки, но не фигурировала ни в одном корпоративном реестре США.

«Это редкий пример того, как северокорейским хакерам действительно удалось создать юридически оформленные корпоративные структуры в США, чтобы использовать их для атак на ничего не подозревающих соискателей работы», — заявил агентству Reuters Кейси Бест, директор по анализу угроз в компании Silent Push.

Федеральное бюро расследований США отказалось напрямую обсуждать эти две компании. Однако в четверг бюро разместило на веб-сайте Blocknovas уведомление об изъятии домена, в котором говорилось, что домен был изъят «в рамках правоохранительной операции против северокорейских киберпреступников, которые использовали этот домен для обмана людей с помощью фальшивых объявлений о вакансиях и распространения вредоносного программного обеспечения»

Перед операцией высокопоставленные сотрудники ФБР заявили, что цель агентства — «наложить риски и последствия не только на самих северокорейских деятелей, но и на всех, кто способствует осуществлению ими этих планов»

Один чиновник назвал северокорейские хакерские подразделения «возможно, одной из самых сложных и устойчивых угроз», с которыми сегодня сталкиваются Соединенные Штаты.

Silent Push По данным , злоумышленники выдавали себя за вербовщиков и предлагали пройти собеседования, на которых жертвам требовалось открыть вредоносные файлы.

Компании Blocknovas и Softglide использовали объявления о вакансиях для распространения вредоносного ПО среди разработчиков криптовалют

После запуска файлы пытались получить ключи от криптовалютных кошельков, пароли и другиеdentданные, которые впоследствии могли бы помочь проникнуть на биржи или в технологические компании.

В неопубликованном отчете компании подтверждается наличие «множества жертв», большинство из которых были атакованы через Blocknovas, которую исследователи описывают как «безусловно, самую активную» из трех площадок.

Согласно данным государственных реестров, компания Blocknovas была зарегистрирована в Нью-Мексико 27 сентября 2023 года. В документах указан почтовый адрес в Уорренвилле, Южная Каролина, который на Google Maps отображается как пустой участок земли.

Компания Softglide была зарегистрирована в штате Нью-Йорк, но её tracвосходят к небольшому офису по подготовке налоговых деклараций в Буффало. Никаких tracо лицах, чьи имена указаны в обеих декларациях, обнаружено не было.

Американские чиновники заявляют, что эта тенденция соответствует более широкой стратегии Северной Кореи по увеличению валютных резервов. Вашингтон, Сеул и эксперты ООН давно обвиняют Пхеньян в краже криптовалюты и отправке тысяч специалистов в сфере информационных технологий за границу для финансирования ядерной ракетной программы страны.

Ведение бизнеса, контролируемого Северной Кореей, на территории Соединенных Штатов нарушает санкции, введенные Управлением по контролю за иностранными активами Министерства финансов США (OFAC). Это противоречит мерам Совета Безопасности ООН, запрещающим коммерческую деятельность, приносящую выгоду северокорейскому государству или армии.

Файлы заданий, содержащие вредоносное ПО, связаны с группой компаний Lazarus

Государственный секретарь Нью-Мексико заявил в электронном письме, что компания Blocknovas была зарегистрирована через онлайн-систему регистрации ООО внутри страны с использованием зарегистрированного агента и, по всей видимости, соответствует правилам штата. «Наш офис никак не мог знать о ее связи с Северной Кореей», — написал представитель компании.

Следователи связывают эту деятельность с подгруппой « Группы Лазарус», элитной хакерской командой, подчиняющейся Главному разведывательному управлению, главному подразделению внешней разведки Пхеньяна.

В вредоносных файлах заданий Silent Push былоdentкак минимум три ранее известных семейства вредоносных программ. Эти инструменты могут извлекать данные с зараженных машин, открывать бэкдоры для дальнейшего проникновения и загружать дополнительный код атаки — сценарий, часто встречающийся в предыдущих операциях Lazarus.

В настоящее время домен Blocknovas находится под федеральным арестом, веб-сайт Softglide недоступен, а страницы агентства Angeloper выдают ошибки. Однако следователи предупреждают, что новые псевдонимы могут появляться очень быстро.

«Эта операция иллюстрирует постоянно растущую угрозу, исходящую от киберпреступников КНДР», — говорится в заявлении ФБР, в котором содержится призыв к специалистам в области технологий внимательно изучать незапрошенные предложения о работе и сообщать о любых подозрительных контактах.