Thomas Daniels

Publicat el: 09/12/2024
Share it!
Els pirates informàtics de la RPDC exploten el capital radiant per 50 milions de dòlars en atacs sofisticats
By Publicat el: 09/12/2024
Corea del Nord

Segons un exhaustiu estudi post mortem, un pirata informàtic patrocinat per l'estat de Corea del Nord El vestit va ser responsable d'una explotació de 50 milions de dòlars dirigida a Radiant Capital. Mitjançant un xat de Telegram fals, els atacants, que van ser reconeguts com a pertanyents al grup d'amenaces UNC4736, també conegut com Citrine Sleet, van desplegar programari maliciós mitjançant tècniques d'enginyeria social sofisticades.

Per tenir accés a Radiant Capital, els pirates informàtics van simular ser un "antic contractista de confiança" i van utilitzar la legitimitat d'una connexió establerta. Van afirmar tenir un informe sobre l'explotació Penpie, un incident anterior a la zona de DeFi, en un fitxer PDF comprimit que van compartir a través de Telegram. Tanmateix, el programari maliciós INLETDRIFT, que va crear una porta posterior als sistemes macOS, estava present al fitxer zip.

En alterar la interfície Safe{Wallet}, abans coneguda com a Gnosis Safe, aquest hack va exposar les carteres de maquinari d'almenys tres desenvolupadors de Radiant. El programari maliciós va dur a terme transaccions fraudulentes en segon pla mentre la interfície mostrava dades de transaccions vàlides.

Tot i que Radiant Capital va utilitzar procediments de seguretat estàndards de la indústria, com ara verificacions de càrrega útil i simulacions de Tenderly, els atacants van poder, tanmateix, comprometre diverses màquines de desenvolupament.

Mandiant, una empresa de ciberseguretat, va connectar l'atac a UNC4736, un actor d'amenaces vinculat a la RPDC que té un historial d'aprofitament de les empreses de bitcoins. L'organització també és coneguda per atacar els intercanvis de bitcoins i difondre programari maliciós AppleJeus. Les estimacions indiquen que es van malversar uns 3 milions de dòlars de la indústria de la criptomoneda entre el 2017 i el 2023, i es creu que els ingressos donen suport al programa d'armes nuclears de Corea del Nord.

UNC4736 es va dirigir a organitzacions centrades en criptografia a principis d'any fent ús d'una vulnerabilitat de dia zero al navegador Chromium, eludint la seva seguretat sandbox. L'FBI ha cridat l'atenció sobre les estratègies canviants del grup, que inclouen fer-se passar per especialistes informàtics per accedir als sistemes financers i a les empreses.

Les institucions financeres mundials estan cada cop més en risc de la ciberdelinqüència de Corea del Nord, especialment en l'espai de la criptomoneda. Els investigadors de la Cyberwarcon Cybersecurity Conference afirmen que els pirates informàtics patrocinats per l'estat de Corea del Nord han robat més de 10 milions de dòlars en només sis mesos fent passar la identitat de treballadors reals d'empreses conegudes.

El cas Radiant Capital posa de manifest la necessitat urgent d'augmentar la consciència, les mesures de seguretat multicapa i la cooperació internacional per combatre els riscos que plantegen els ciberatacs recolzats per l'estat a mesura que la indústria criptogràfica lluita amb explotacions cada cop més complexes.

font