Północnokoreańscy hakerzy włamali się do amerykańskiej firmy technologicznej w celu kradzieży kryptowaluty

Wspierana przez rząd Korei Północnej grupa hakerska włamała się do amerykańskiej firmy zarządzającej IT i wykorzystała to jako trampolinę do zaatakowania firm kryptowalutowych, poinformowali w czwartek firma i eksperci ds.

— poinformowała firma w post na blogu.

JumpCloud nie zidentyfikował klientów, których dotyczy problem, ale firmy zajmujące się bezpieczeństwem cybernetycznym CrowdStrike Holdings (CRWD.O) – która pomaga JumpCloud – i należąca do Alphabet Mandiant (GOOGL.O) – która pomaga klientowi JumpCloud – obie stwierdziły, że zaangażowani hakerzy koncentrują się na kradzieży kryptowalut.

Dwie osoby zaznajomione ze sprawą potwierdziły, że klientami JumpCloud, których celem były ataki hakerskie, były firmy kryptowalutowe.

Hack pokazuje, w jaki sposób cyberszpiedzy z Korei Północnej, którzy wcześniej zadowalali się fragmentarycznymi polowaniami na firmy kryptowalutowe, teraz przejmują firmy, które mogą zapewnić im szerszy dostęp do ich wielu ewentualnych ofiar – taktyka znana jako „atak na łańcuch dostaw”.

powiedział Tom Heigl, który pracuje dla US SentinelOne (SN). potwierdzone niezależnie Atrybucja Mandiant i CrowdStrike.

Misja Pjongjangu przy ONZ w Nowym Jorku nie odpowiedziała na prośbę o komentarz. Korea Północna wcześniej zaprzeczała organizowaniu kradzieży kryptowalut, pomimo ogromnych dowodów – w tym raportów ONZ – temu zaprzeczających.

CrowdStrike zidentyfikował hakerów jako „Labyrinth Chollima” – jedną z kilku grup rzekomo działających w imieniu Korei Północnej. Mandiant powiedział, że odpowiedzialni hakerzy pracowali dla Północnokoreańskiego Reconnaissance General Bureau (RGB), głównej zagranicznej agencji wywiadowczej.

CISA i FBI odmówiły komentarza.

Włamanie do JumpCloud – którego produkty pomagają administratorom sieci w zarządzaniu urządzeniami i serwerami – po raz pierwszy zostało upublicznione na początku tego miesiąca, kiedy firma wysłała klientom e-maila z informacją, że ich dane uwierzytelniające zmienią się „ze względu na dużą ostrożność w związku z trwającym incydentem”.

We wcześniejszej wersji wpisu na blogu potwierdzającego, że incydent był włamaniem, JumpCloud prześledził włamanie do 27 czerwca. Podcast poświęcony cyberbezpieczeństwu niebezpieczna praca Wcześniej w tym tygodniu cytowali dwa źródła, które twierdziły, że Korea Północna była podejrzana o włamanie.

Labyrinth Chollima to jedna z najskuteczniejszych grup hakerskich w Korei Północnej i uważa się, że jest odpowiedzialna za niektóre z najbardziej śmiałych i destrukcyjnych cyberataków w odizolowanym kraju. Kradzież kryptowalut doprowadziła do utraty oszałamiających sum: firma analityczna Blockchain Chainalysis powiedziała w zeszłym roku, że grupy powiązane z Koreą Północną ukradły szacunkową 1,7 miliarda dolarówcyfrowej gotówki za pomocą kilku hacków.

Zespołów hakerskich Pjongjangu nie należy lekceważyć, powiedział Adam Myers, starszy wiceprezes wywiadu CrowdStrike.

„Nie sądzę, że to ostatnia rzecz, jaką zobaczymy w tym roku w północnokoreańskich atakach na łańcuch dostaw” – powiedział.

(Raport Christophera Binga i Raphaela Satera z Waszyngtonu); Dodatkowe raporty Jamesa Pearsona w Londynie i Michaela Nicholsa w Nowym Jorku. Montaż autorstwa Anny Driver, Bernadette Baume, Connora Humphreysa i Margarity Choi

Nasze standardy: Zasady zaufania Thomson Reuters.