Współczesny świat jest świadkiem rosnącego wpływu cyberprzestępczości, a jednym z najbardziej aktywnych i niebezpiecznych graczy w tej dziedzinie jest Korea Północna. W 2023 roku, po raz kolejny, Korea Północna pokazała swoją siłę, atakując amerykańską firmę zarządzającą IT, JumpCloud. Ten atak, który miał miejsce w czerwcu 2023 roku, był niezwykły ze względu na swój cel – nie tylko kradzież danych, ale również wykorzystanie JumpCloud jako „trampoliny” do ataku na firmy kryptowalutowe. To wydarzenie ujawnia nowe, bardziej wyrafinowane metody wykorzystywane przez Koreańczyków Północnych w celu zdobycia lukratywnych zasobów kryptowalutowych.
Kim są atakujący?
Za atakiem na JumpCloud stoi grupa hakerów powiązana z koreańskim rządem, znana jako Labyrinth Chollima. Jest to podgrupa infamnej grupy Lazarus, która od lat jest odpowiedzialna za liczne ataki cybernetyczne na całym świecie, w tym na banki, firmy i instytucje rządowe. Lazarus jest znany ze swojego zaawansowanego poziomu umiejętności technicznych i ze skłonności do wykorzystywania złożonych technik, takich jak ataki typu supply chAIn, aby osiągnąć swoje cele.
Metody ataku
W przypadku JumpCloud, hakerzy wykorzystali technikę ataku typu supply chAIn. Oznacza to, że zamiast bezpośrednio atakować firmy kryptowalutowe, włamali się do JumpCloud, firmy, która świadczy usługi zarządzania IT dla innych firm. Uzyskując dostęp do systemów JumpCloud, hakerzy zyskali możliwość ataku na klientów JumpCloud, w tym firmy kryptowalutowe, bez konieczności bezpośredniego łamania ich zabezpieczeń.
Skala ataku
Chociaż JumpCloud potwierdziło, że tylko kilku klientów zostało dotkniętych atakiem, skala zagrożenia jest znacznie większa. Hakerzy zdołali zAInfekować systemy klientów JumpCloud za pomocą złośliwego skryptu Ruby, który został uruchomiony przez agenta JumpCloud. Skrypt ten umożliwił hakerom instalację dodatkowych narzędzi szpiegowskich i backdoorów, dając im dostęp do poufnych danych i systemów klientów.
Cel ataku
Głównym celem ataku na JumpCloud było zdobycie dostępu do zasobów kryptowalutowych. Korea Północna od dawna wykorzystuje cyberprzestępczość do pozyskiwania funduszy, a ataki na firmy kryptowalutowe stały się coraz bardziej powszechne. Korea Północna potrzebuje pieniędzy, aby finansować swój program nuklearny i rakietowy, a ataki cybernetyczne stanowią dla nich łatwy i skuteczny sposób na pozyskiwanie funduszy.
Konsekwencje ataku
Atak na JumpCloud ma poważne konsekwencje dla bezpieczeństwa cybernetycznego. Po pierwsze, pokazuje, że nawet firmy z silnym zabezpieczeniem mogą stać się ofiarami ataków typu supply chAIn. Po drugie, ujawnia rosnące zagrożenie ze strony koreańskich aktorów, którzy stale udoskonalają swoje metody i poszukują nowych sposobów na zdobycie dostępu do danych i zasobów. Po trzecie, ataki na firmy kryptowalutowe stają się coraz bardziej powszechne i stanowią poważne zagrożenie dla stabilności i bezpieczeństwa tego sektora.
Wnioski
Atak na JumpCloud jest wyraźnym sygnałem, że Korea Północna jest gotowa wykorzystać wszystkie dostępne środki, aby zdobyć fundusze i rozwijać swoje programy wojskowe. Firmy kryptowalutowe i inne organizacje muszą być świadome tego zagrożenia i wzmocnić swoje zabezpieczenia cybernetyczne, aby chronić się przed tego typu atakami. Współpraca między firmami, agencjami rządowymi i ekspertami w dziedzinie bezpieczeństwa cybernetycznego jest niezbędna, aby skutecznie przeciwdziałać zagrożeniom ze strony Koreańczyków Północnych i innych cyberprzestępców.
