Хакеры из КНДР взломали IT-компанию в Колорадо для хищений криптовалюты у ее клиентов
Хакерская группа «Лабиринт Чоллима», связанная с северокорейскими спецслужбами, взломала системы IT-компании JumpCloud в США, чтобы использовать ее площадку для атак на криптовалютные компании. Хакеры из КНДР организовали «атаку по цепочке поставок» и нацеливались на кражу криптовалюты у пяти клиентов компании из Луисвилла (штат Колорадо)
Северокорейская хакерская группа «Лабиринт Чоллима» провела в США так называемую атаку по цепочке поставок — она взломала системы IT-компании JumpCloud для последующих атак на криптовалютные компании, которые были ее клиентами. Об этом сообщает Reuters со ссылкой на экспертов по кибербезопасности и сообщение самой JumpCloud.
Хакеры взломали JumpCloud в Луисвилле (штат Колорадо) в конце июня. Они использовали свой доступ к системам компании, чтобы нацелиться на «менее чем» пять ее клиентов, цитирует агентство сообщение в блоге компании. JumpCloud не идентифицировала пострадавших клиентов. Компании по кибербезопасности CrowdStrike Holdings (помогает JumpCloud) и Mandiant (принадлежит Alphabet, помогает одному из клиентов JumpCloud) заявили, что целью хакеров были кражи криптовалюты.
Два собеседника, знакомых с ситуацией, подтвердили агентству, что клиенты JumpCloud, на которых нацелились хакеры, были криптовалютными компаниями. Ранее хакеры из КНДР довольствовались прямыми атаками на криптовалютные компании, теперь они используют тактику «атаки по цепочке поставок», нападая на компании, которые могут предоставить им более широкий доступ, сразу к нескольким жертвам, отмечают эксперты.
«Северная Корея, на мой взгляд, действительно усиливает свою игру», — сказал Том Хегель из SentinelOne. Он независимо подтвердил причастность Mandiant и CrowdStrike к расследованию инцидента. Представительство Пхеньяна при ООН в Нью-Йорке не ответило на запрос о комментариях. Северная Корея ранее отрицала организацию краж криптовалюты, несмотря на многочисленные доказательства обратного, в том числе, в отчетах ООН.
CrowdStrike определила хакеров как группу «Лабиринт Чоллима», предположительно действующую от имени Северной Кореи. По данным Mandiant, ответственные за взлом хакеры работали на Главное разведывательное бюро Северной Кореи (RGB), занимающееся внешней разведкой. Агентство США по надзору за кибербезопасностью (CISA) и ФБР отказались от комментариев.
Программные продукты JumpCloud используются для помощи сетевым администраторам в управлении устройствами и серверами. Блокчейн-аналитическая компания Chainalysis заявила в прошлом году, что группы, связанные с Северной Кореей, похитили криптовалюту на сумму $1,7 млрд в результате нескольких взломов. Старший вице-президент CrowdStrike по разведке Адам Мейерс заявил, что хакерские отряды Пхеньяна не следует недооценивать — атаки по цепочке поставок из Северной Корее продолжатся в этом году.