TraderTraitor: анализ северокорейских кибератак на крипторынок

Группа TraderTraitor представляет собой одну из самых опасных кибератак, спонсируемых государством Северной Кореи, и направленных в первую очередь на финансовые объекты криптовалютного и блокчейн-сектора. В условиях жестких международных санкций эта операция существенно помогает финансированию государственных программ КНДР. Вследствие деятельности TraderTraitor страдают как крупные криптобиржи, так и экосистемы, связанные с хранением и управлением цифровыми активами.
Ключевые факты и направления атак
- Активность TraderTraitor связана с такими группами APT, как Lazarus Group и APT38.
- Известные крупные кибератаки включают взлом биржи DMM на сумму $308 млн и хищение криптовалюты на $1,5 млрд с биржи Bybit.
- Основная цель — криптовалютная и блокчейн-экосистема, что позволяет обходить экономические санкции.
- Методы варьируются от сложной социальной инженерии до взлома цепочки поставок и облачных сервисов.
Используемые тактики и вредоносное ПО
TraderTraitor демонстрирует высокий уровень технической продвинутости, используя многокомпонентный арсенал атак:
- Социальная инженерия: фишинговые кампании с предложениями о работе, адресованные сотрудникам, связанным с криптографией, для внедрения троянских приложений.
- Троянские приложения, маскирующиеся под легитимные криптографические инструменты, с полезной нагрузкой, включая MANUSCRYPT — троян удалённого доступа для кражи конфиденциальных данных и учетных записей криптовалюты.
- Атаки на облачные сервисы через компрометацию клиентов, а не самих провайдеров. Пример — взлом платформы JumpCloud в июле 2023 года, когда через поставщика распространялись вредоносные обновления, затронувшие криптокомпании.
- Использование общедоступных репозиториев, таких как GitHub, для внедрения скомпрометированных пакетов, влияющих на финансовые технологии.
Особенности и эволюция атак TraderTraitor
Злоумышленники постоянно совершенствуют свои методы:
- Быстрое хищение и манипулирование легитимными транзакциями — некоторые атаки доводятся до реализации всего за несколько дней после взлома.
- Взлом среды Safe{Wallet}, приведший к атакам на биржу Bybit, где злоумышленники использовали украденные учетные данные для изменения работы веб-приложений и перехвата транзакций в реальном времени.
- Эксплуатация проблем с неправильным кодированием для вынуждения разработчиков запускать вредоносные скрипты, открывающие дополнительные пути для проникновения.
- Применение вредоносного ПО, такого как RN Stealer, для сбора конфиденциальных данных, включая облачные конфигурации и учетные данные пользователей, способствующее широкому перемещению внутри сетей.
Опасность и рекомендации
Деятельность TraderTraitor — это сочетание тактик, характерных для государственно-спонсируемых групп и киберпреступников, что делает их угрозу уникально высокой для сектора криптовалют и финансовых технологий.
Эксперты подчёркивают, что
«сочетание социальной инженерии, атак на цепочки поставок и использование облачных сервисов в качестве точек входа требует комплексного подхода к безопасности». Защита критических инфраструктур и пользовательских активов должна основываться на строгом контроле доступа, регулярном мониторинге активности и немедленном реагировании на инциденты.
Без должной подготовки и модернизации систем безопасности организации остаются уязвимыми перед таким изощрённым противником, как TraderTraitor.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



