أمضت مجموعة Lazarus Group ستة أشهر في محاولة لاختراق العملات المعدنية المدفوعة لأنظمة نقاط الضعف: تقرير



اكتشف مزود خدمة الدفع المشفر الإستوني CoinsPaid أن مجموعة القراصنة سيئة السمعة Lazarus قضت ستة أشهر في مراقبة ودراسة المنصة قبل أن تهاجم أخيرًا في 22 يوليو.

اشتركت ConsPaid مع شركة الأمن السيبراني Match Systems لتتبع خطوات الجناة دقيقة بدقيقة ، فضلاً عن تحديد الخدمات والمنصات التي تم استخدامها لغسل الأموال. في بيان صحفي مشترك مع CryptoPotato ، قالت المنصة إن Lazarus Group أمضت ستة أشهر في محاولة اختراق أنظمة CoinsPaid والعثور على نقاط الضعف.

تنظيم عملية سرقة 37.3 مليون دولار

منذ مارس ، كشفت CoinsPaid أنها تعاني من هجمات فاشلة مستمرة من مختلف الأنواع ، بدءًا من الهندسة الاجتماعية إلى DDos و BruteForce. في نفس الوقت تقريبًا ، تم الاتصال بمهندسي الشركة الرئيسيين من قبل كيان تظاهر بأنه شركة ناشئة أوكرانية لمعالجة العملات الرقمية مع عدد من الطلبات المتعلقة بالبنية التحتية التقنية. تم تأكيد هذا التفاعل من قبل ثلاثة مطورين رئيسيين داخل CoinsPaid.

في أبريل ومايو ، واجهت CoinsPaid أربعة هجمات كبيرة ضد أنظمتها التي سعت إلى الوصول غير المصرح به إلى الحسابات الخاصة بكل من موظفي الشركة وعملائها. وقال البيان الصحفي إن نشاط البريد العشوائي والتصيد الاحتيالي ضد أعضاء الفريق كان مستمرًا وعدوانيًا للغاية.

شهد شهري يونيو ويوليو التاليين تنظيم حملة خبيثة تضمنت مجموعة من الرشاوى وعروض العمل الوهمية ، وكلها موجهة إلى الموظفين الرئيسيين داخل الشركة.

شن المهاجم هجومًا مخططًا ونفذًا بدقة على البنية التحتية لـ CoinsPaid وتطبيقاته في 7 يوليو. أظهر الهجوم ، الذي وقع بين الساعة 20:48 و 21:42 ، زيادة غير مسبوقة في نشاط الشبكة ، بما في ذلك أكثر من 150000 عنوان IP مميز.

hacker_cover

على أثر الهجوم

كان الهدف الرئيسي للمجرمين هو خداع أحد الموظفين الرئيسيين لتثبيت برنامج ، مما يسمح لهم بإنشاء تحكم عن بعد على جهاز كمبيوتر من خلال التسلل والوصول إلى أنظمة CoinsPaid الداخلية. على الرغم من ستة أشهر من المحاولات الفاشلة ، تمكن المهاجمون من اختراق بنيتها التحتية في 22 يوليو ، مما أدى إلى خسارة 37.5 مليون دولار.

استخدم المهاجمون تقنيات هندسة اجتماعية متطورة للغاية وقوية للوصول إلى كمبيوتر الموظف. اتصل موظفو التوظيف من شركات العملات المشفرة بموظفي CoinsPaid عبر LinkedIn ومراسلين مختلفين ، وقدموا رواتب مغرية.

بعد أن استجاب أحد موظفيه لعرض عمل يتظاهر بأنه Crypto.com ، تلقى مهمة تجريبية تتطلب تثبيت تطبيق برمز ضار. عند فتح نشاط الاختبار ، تمت سرقة ملفات تعريف الموظفين والمفاتيح من الكمبيوتر لإنشاء اتصال بالبنية التحتية CoinsPaid.

سمح الوصول للمتسللين بإنشاء طلبات مصرح بها لسحب الأموال من محافظ CoinsPaid الساخنة. لكن الجناة لم يتمكنوا من اختراق المحافظ الساخنة والحصول على مفاتيح خاصة للوصول مباشرة إلى الأموال.

وأضاف أن "الإجراءات الأمنية الداخلية عملت على تفعيل نظام الإنذار وسمحت لنا بإيقاف النشاط الخبيث بسرعة وطرد المتسللين خارج محيط الشركة".

وقالت CoinsPaid أيضًا إنه على الرغم من امتثال شركات التشفير لمعايير KYC واستخدام أنظمة تسجيل مخاطر blockchain للكشف عن أي نشاط مشبوه ، إلا أن الجناة ما زالوا قادرين على غسل الأموال المسروقة بنجاح.

وجهت الشركة أصابع الاتهام إلى مجموعة Lazarus حيث استخدم المتسللون تكتيكات مماثلة في سرقة المحفظة الذرية.

قضت مجموعة Post Lazarus Group ستة أشهر في محاولة اختراق أنظمة رسوم العملات بحثًا عن نقاط الضعف - ظهر التقرير لأول مرة في CryptoPotato .