По словам двух источников, знакомых с ситуацией, хакерская группа, поддерживаемая правительством Северной Кореи, проникла в американскую компанию по управлению ИТ и использовала ее как плацдарм для атак на криптовалютные компании, передает Bizmedia.kz.
По словам источников, хакеры проникли в компанию JumpCloud, расположенную в Луисвилле (штат Колорадо), в конце июня и использовали свой доступ к системам компании для атаки на ее клиентов — криптовалютные компании с целью хищения цифровых денежных средств.
Взлом показывает, как северокорейские кибершпионы, которые раньше довольствовались тем, что нападали на криптовалютные компании по одному, теперь нападают на компании, которые могут предоставить им доступ к многочисленным источникам биткоина и других цифровых валют.
Компания JumpCloud, признавшая факт взлома в своем блоге на прошлой неделе и возложившая ответственность за него на «изощренного агента, спонсируемого национальным государством», не ответила на вопросы Reuters о том, кто стоит за взломом и какие клиенты пострадали.
Представитель JumpCloud сообщил, что пострадали не более пяти клиентов. Reuters не удалось выяснить, была ли в результате взлома похищена какая-либо цифровая валюта.
Компания CrowdStrike Holdings (CRWD.O), которая сотрудничает с JumpCloud в расследовании взлома, подтвердила, что за взломом стоит «Лабиринт Чоллима» — так она называет определенную группу северокорейских хакеров.
Старший вице-президент CrowdStrike по разведке Адам Мейерс отказался комментировать, чего добивались хакеры, но отметил, что в их прошлом были криптовалютные цели.
«Одной из их главных целей является получение доходов для режима», — сказал он.
Представительство Пхеньяна при ООН в Нью-Йорке не сразу ответило на просьбу о комментарии. Ранее Северная Корея отрицала факт организации краж цифровых валют, несмотря на многочисленные доказательства обратного, включая доклады ООН.
Независимые исследования подтвердили утверждение CrowdStrike.
Исследователь в области кибербезопасности Том Хегель, не принимавший участия в расследовании, заявил Reuters, что вторжение в JumpCloud стало последним из нескольких недавних взломов, свидетельствующих о том, что северокорейцы стали искусными в «атаках на цепочки поставок», или сложных взломах, которые осуществляются путем компрометации программного обеспечения или поставщиков услуг с целью кражи данных — или денег — у пользователей, находящихся ниже по цепочке.
«Северная Корея, на мой взгляд, действительно активизировала свою игру», — сказал Хегель, работающий в американской компании SentinelOne. (S.N)
В своем блоге, который будет опубликован в четверг, Хегель заявил, что цифровые индикаторы, опубликованные JumpCloud, связывают хакеров с деятельностью, ранее приписываемой Северной Корее.
Американское агентство по контролю за киберпространством CISA и ФБР отказались от комментариев.
О взломе JumpCloud, чьи продукты используются для помощи сетевым администраторам в управлении устройствами и серверами, впервые стало известно в начале этого месяца, когда компания разослала клиентам электронное письмо с сообщением о том, что их учетные данные будут изменены «из соображений осторожности в связи с текущим инцидентом».
В своем блоге JumpCloud признала, что инцидент был взломом, и проследила, что вторжение произошло 27 июня. В начале этой недели подкаст Risky Business, посвященный кибербезопасности, со ссылкой на два источника сообщил, что подозреваемой во вторжении является Северная Корея.
Labyrinth Chollima — одна из самых активных хакерских групп Северной Кореи, которая, как считается, ответственна за некоторые из самых дерзких и разрушительных кибервторжений в изолированной стране. В результате кражи криптовалюты были потеряны огромные суммы: В прошлом году компания Chainalysis, специализирующаяся на анализе блокчейна, заявила, что в результате многочисленных взломов связанные с Северной Кореей группировки похитили цифровые деньги на сумму около 1,7 млрд долл.
Майерс из CrowdStrike считает, что хакерские группы Пхеньяна не стоит недооценивать.
«Я не думаю, что это последний случай северокорейских атак на цепочки поставок в этом году», — сказал он.
