Північнокорейські хакери використовують підроблені вакансії для атаки на хмарні системи та викрадення мільярдів у криптовалюті
1 min read

Північнокорейські хакери використовують підроблені вакансії для атаки на хмарні системи та викрадення мільярдів у криптовалюті

Бєляєва Христина0

Коротко

  • Північнокорейські хакери використовують фальшиві вакансії в ІТ для доступу до хмарних систем та крадіжки криптовалюти на мільйони доларів, повідомили Google та Wiz.
  • Кампанія TraderTraitor з 2020 року розвивається, націлюючись на криптовалютні компанії за допомогою шкідливих програм та штучно згенерованих заманювань.
  • Ці групи вкрали 1,6 мільярда доларів у криптовалюті цього року і продовжують розширювати свої операції.

Північнокорейські хакерські групи використовують привабливість фрілансерських вакансій в ІТ, щоб отримати доступ до хмарних систем і викрасти криптовалюту на мільйони доларів, згідно з окремими дослідженнями Google Cloud та компанії з безпеки Wiz.

Звіт Google Cloud «H2 2025 Cloud Threat Horizons» розкриває, що команда Google з розвідки загроз «активно відстежує» UNC4899, північнокорейську хакерську одиницю, яка успішно зламала дві компанії, зв’язавшись з працівниками через соціальні мережі.

У обох випадках UNC4899 надала працівникам завдання, внаслідок чого ті запускали шкідливе програмне забезпечення на своїх робочих станціях, що дозволило хакерській групі встановити з’єднання між своїми центрами управління та цільовими хмарними системами компаній.

Таким чином, UNC4899 змогла дослідити хмарні середовища жертв, отримуючи доступ до матеріалів облікових записів і виявляючи хостинг, що відповідає за обробку криптографічних транзакцій.

Хоча кожен окремий інцидент націлював різні (нонеймовані) компанії та різні хмарні сервіси (Google Cloud та AWS), обидва призвели до крадіжки «кількох мільйонів у криптовалюті».

Використання заманювань у вигляді вакансій північнокорейськими хакерами стало «досить поширеним явищем», що свідчить про значний рівень складності, зазначив Джеймі Колліер, старший радник з розвідки загроз в Європі в групі Google з розвідки.

«Вони часто видають себе за рекрутерів, журналістів, експертів у певних галузях або професорів при контакті з жертвами», — додав він, зазначивши, що вони часто ведуть переписку кілька разів, щоб вибудувати довіру.

Швидкість реакції

Колліер пояснив, що північнокорейські загрози були одними з перших, хто швидко впроваджував нові технології, такі як штучний інтелект, який вони використовують для створення «переконливіших електронних листів для побудови довіри» і написання своїх шкідливих скриптів.

Також про витівки UNC4899 повідомляє компанія Wiz, яка зазначає, що цю групу також називають TraderTraitor, Jade Sleet та Slow Pisces.

TraderTraitor представляє певний вид загрози, а не конкретну групу, адже за типовими взломами TraderTraitor стоять державно підконтрольні об’єднання, такі як Lazarus Group, APT38, BlueNoroff та Stardust Chollima.

У своєму аналізі UNC4899/TraderTraitor Wiz зазначає, що кампанії почалися ще у 2020 році, коли відповідні хакерські групи використовували заманювання роботи, щоб спонукати працівників завантажувати шкідливі крипто-додатки, створені на JavaScript та Node.js за допомогою фреймворку Electron.

За даними Wiz, кампанія групи з 2020 по 2022 роки «успішно зламала багато організацій», включаючи крадіжку 620 мільйонів доларів, пов’язану з Ronin Network компанії Axie Infinity.

Загроза діяльності TraderTraitor еволюціонувала у 2023 році, включаючи використання шкідливого відкритого коду, а в 2024 році знову акцентувала на фальшивих вакансіях, насамперед націлюючись на біржі.

Найбільш істотною була крадіжка 305 мільйонів доларів у японської DMM Bitcoin, а також крадіжка на 1,5 мільярда доларів у Bybit наприкінці 2024 року, про яку біржа оголосила у лютому цього року.

Націленість на хмару

Як і у випадках, описаних Google, ці зломи націлювалися на хмарні системи різного ступеня, і, за словами Wiz, такі системи є значною вразливістю для криптоіндустрії.

«Ми вважаємо, що TraderTraitor зосередилася на експлойтах, пов’язаних з хмарами, оскільки саме там зберігається дані, а отже, й гроші», — сказав Бенджамін Рід, директор зі стратегічної розвідки загроз Wiz.

Рід пояснив, що націленість на хмарні технології дозволяє злочинним групам охоплювати широкий спектр цілей, що збільшує потенціал заробітку.

Ці групи займаються великим бізнесом, з «оцінками у 1,6 мільярда доларів у криптовалюті, що вже вкрадено у 2025 році», додав він, зазначивши, що TraderTraitor та супутні групи мають працівників «швидше всього в тисячах», які працюють у численних і іноді перекриваючих групах.

«Хоча важко визначити конкретну цифру, чітко видно, що північнокорейський режим інвестує значні ресурси в ці можливості», — наголосив він.

У результаті такі інвестиції дозволили Північній Кореї стати лідером у крипто-вірусах, зокрема, у лютому цього року звіт TRM Labs зробив висновок, що країна становила 35% усіх викрадених коштів минулого року.

Експерти зазначають, що всі доступні ознаки свідчать про те, що країна, ймовірно, залишиться чільним гравцем у сфері криптозламів ще довго, особливо враховуючи здатність її оперативників розробляти нові техніки.

«Північнокорейські загрози — це динамічна та спритна сила, яка постійно адаптується до стратегічних і фінансових цілей режиму», — сказав Колліер з Google.

Повторюючи, що північнокорейські хакери дедалі більше використовують штучний інтелект, Колліер пояснив, що таке використання забезпечує «посилення потужності», що, в свою чергу, дозволило хакерам масштабувати свої експлуатації.

«Ми не бачимо ознак їхнього сповільнення і очікуємо, що це розширення продовжиться», — підсумував він.

Related Posts