В последние годы киберугрозы, исходящие от Северной Кореи, стали одной из самых обсуждаемых тем в мире информационной безопасности. Одним из самых последних инцидентов, всеобъемлюще продемонстрировавшим способности северокорейских хакеров, стал случай с использованием нулевого дня в браузере Chrome для хищения криптовалюты. По информации, представленной корпорацией Microsoft, в августе 2024 года группа хакеров, известная под названием Citrine Sleet, начала атаку на различные организации, стремясь украсть их криптовалютные активы. Разработчики Microsoft зафиксировали первые признаки активности хакеров 19 августа. Это стало началом киберкампании, характерной для методов работы северокорейских группировок, которые давно зарекомендовали себя как решительные мошенники в мире финтеха и криптовалюты.
Ключевым моментом в атаке стало использование уязвимости в ядре Chromium — базовом коде, на котором работают как браузер Chrome, так и такие популярные альтернативы, как Microsoft Edge. Во время изучения проблемы стало ясно, что эксплойт был еще нулевым, то есть Google не знал о существовании уязвимости, не успев зафиксировать ее до того, как хакеры начали ее использовать. В результате Google выпустил патч всего через два дня после начала атак, 21 августа, но ущерб уже был причинен. Глава группы безопасности Microsoft, Крис Уильямс, заявил, что компания уведомила "целевая и скомпрометированные клиенты", однако отказалась раскрывать подробности о том, какие именно организации пострадали и сколько всего жертв было атаковано. Это создает атмосферу неопределенности и ужаса в криптосообществе, особенно среди малых и средних финансовых учреждений.
Согласно данным исследования, группа Citrine Sleet была основана в Северной Корее и в основном сосредоточена на преступлениях против финансовых учреждений. Эта группа может похвастаться обширной разведывательной деятельностью в криптоиндустрии и применением тактик социального инжиниринга для проникновения в системы жертв. Хакеры создают поддельные сайты, которые маскируются под законные платформы торговли криптовалютой, чтобы заманить своих жертв в ловушку. Их стратегии часто включают подмену реальных заявлений о работе или сброс фальшивых крипто-кошельков и торговых приложений. Чаще всего Citrine Sleet использует троянский вирус под названием AppleJeus, который был специально разработан для сбора информации, необходимой для захвата криптовалютных активов жертв.
Весь процесс начинается с того, что злоумышленник манипулирует жертвой, побуждая её посетить веб-сайт, контролируемый хакерами. Затем с помощью уязвимости в ядре Windows хакеры могут установить руткит — тип вредоносного ПО, который получает глубокий доступ к операционной системе и, по сути, "открывает двери" для атакующего. На этом этапе у виртуальных злоумышленников появляется полный доступ к данным жертвы. Одним из тревожных аспектов этого инцидента является то, что криптовалюта стала своего рода щитом для северокорейского правительства, столкнувшегося с жесткими международными санкциями. Согласно отчету панели ООН, режим Ким Чен Ына украл около 3 миллиардов долларов в криптовалюте с 2017 по 2023 год, что подчеркивает растущую важность криптовалют в стратегическом арсенале режима.
В условиях падения традиционной экономики Северной Кореи, это становится весьма заманчивой альтернативой для финансирования их ядерной программы. Международные и национальные регуляторы, а также органы охраны правопорядка все больше осознают необходимость усиленного контроля в сфере киберугроз, особенно связанных с криптовалютой. Проблемы, связанные с безопасностью криптоактивов, становятся все более актуальными, и необходимость внедрения современных средств защиты и образовательных программ для организаций становится насущной задачей. Пользователи криптовалюты должны быть в курсе угроз и знать, как защитить свои активы от хакеров. На фоне этих событий сообщество специалистов по кибербезопасности обращает внимание на важность сбора и анализа информации о кибератаках.
