В июне 2023 года произошел масштабный инцидент с взломом платформы JumpCloud — популярного облачного сервиса, предоставляющего услуги централизованного управления доступом и идентификацией для более чем 180 тысяч организаций по всему миру. Эта атака стала предметом широкой дискуссии среди экспертов по кибербезопасности, особенно после того, как следственные действия раскрыли детали, указывающие на причастность северокорейской хакерской группы UNC4899. Интерес к этому случаю усиливается в свете возрастающей активности группировок из КНДР, специализирующихся на атаках, направленных на финансовый сектор и особенно криптовалютные компании. Компания JumpCloud в своем отчете сообщила, что в результате атаки был скомпрометирован внутренний оркестровочный модуль системы в ходе целенаправленной фишинговой кампании. Анализ показал, что злоумышленники использовали сложные методы внедрения вредоносного кода в командный фреймворк, что позволяло им частично контролировать выполнение определенных операций внутри инфраструктуры компании.
К счастью, атака была ограничена менее чем пятью корпоративными клиентами и затронула менее 10 отдельных устройств, что позволило организовать быстрый и эффективный отклик со стороны ИТ-безопасности JumpCloud. Для минимизации последствий были сброшены API-ключи клиентов и устранены уязвимости, использованные злоумышленниками. Что же позволило раскрыть настоящих исполнителей атаки? Как сообщила компания Mandiant, специализирующаяся на расследовании киберинцидентов, ключевым фактором стала допущенная злоумышленниками ошибка в операционной безопасности (OpSec). Несмотря на попытки использовать коммерческие VPN-сервисы и сеть TOR для сокрытия исходных адресов, группа UNC4899 иногда забыла настроить последний этап маршрутизации соединения, что привело к прямому подключению с IP-адресов внутренней сети Pyongyang, Северная Корея. Домены и инфраструктура, связанные с этой группой, также предоставили дополнительные доказательства.
Например, PTR-запись домена wasxxv[.]site осталась неизменной после предыдущих операций, что стало уязвимостью, через которую исследователи смогли отследить активности угрозы. Группа UNC4899 входит в состав Северокорейского Генерального Бюро Разведки (Reconnaissance General Bureau, RGB), известного как ключевой центр кибершпионажа и кибератак в интересах государства. RGB активно использует цепочку промежуточных Relay Box, подключенных к коммерческим VPN-сервисам, таким как ExpressVPN, NordVPN и TorGuard, чтобы скрыть свои операции. Однако при неправильной конфигурации этих сервисов и случайных сбоях, настоящие IP-адреса могут быть выявлены.
Именно такой срыв маскировки произошел в ходе атаки на JumpCloud. Атаки UNC4899 особенно ориентированы на компании, работающие в сфере криптовалют и финансовых технологий, что совпадает с информацией о других RGB-ориентированных группах, например, APT43. Последняя также проявила интерес к руководителям и сотрудникам криптовалютных и финтех-компаний в различных странах — от США до Сингапура. Такая координация и разделение инфраструктуры указывают на систематическую кампанию КНДР по финансовому шпионажу и хищению средств в криптосекторе. В частности, давно известные под кодовыми именами Lazarus, TraderTraitor и AppleJeus группы проводят множество успешных операций, направленных на крупные блокчейн-платформы и финансовые учреждения.
Инцидент с JumpCloud продемонстрировал, как даже небольшие ошибки в настройках канала атаки могут позволить раскрыть местоположение и источники угроз, что важно для противодействия таким нападениям. Он также служит предупреждением для компаний, что неспособность полностью контролировать свои цепочки безопасности и недостаточная бдительность в области OpSec могут привести к серьезным компрометациям. Для организаций, особенно в области облачных услуг и финансового сектора, немаловажным становится усиление защиты через многофакторную аутентификацию, строгий контроль доступа и регулярные аудиты безопасности. Кроме того, сотрудничество с профильными компаниями, занимающимися мониторингом киберугроз, помогает своевременно выявлять и минимизировать риски. На фоне роста геополитической напряженности и усиления активности государственно-спонсируемых киберпреступных групп становится очевидным, что информационная безопасность — неотъемлемая часть функционирования любой цифровой инфраструктуры.
Инцидент с JumpCloud служит убедительным примером необходимости продолжать развивать защитные механизмы и повышать осведомленность о киберугрозах среди бизнеса и пользователей. Таким образом, раскрытие UNC4899 посредством ошибки в их собственной операционной безопасности — важный прецедент, который позволяет экспертам лучше понять методы и инструментарий северокорейских хакеров. Одновременно это мотивация для всех участников цифрового рынка быть максимально готовыми к подобным атакам и применять передовые решения в области кибербезопасности для защиты своих данных и репутации.
