Cyberprzestępcy z Korei Północnej: Wyrafinowane kampanie oszustw w sieci

Według najnowszych ustaleń Microsoftu, grupa hakerska powiązana z Koreą Północną, znana jako Sapphire Sleet, w ciągu ostatnich sześciu miesięcy ukradła kryptowaluty o wartości ponad 10 milionów dolarów. Działania te realizowano poprzez zaawansowane kampanie socjotechniczne, w tym fałszywe profile na LinkedIn.

Jak działa Sapphire Sleet?

Grupa Sapphire Sleet, aktywna co najmniej od 2020 roku, łączy w sobie cechy znanych zespołów hakerskich, takich jak APT38 czy BlueNoroff. W listopadzie 2023 roku Microsoft ujawnił, że grupa ta wykorzystuje infrastrukturę podszywającą się pod portale do oceny umiejętności, co umożliwia przeprowadzanie ataków opartych na socjotechnice.

Jedną z głównych metod stosowanych przez Sapphire Sleet jest podszywanie się pod inwestorów venture capital. Przestępcy kontaktują się z ofiarą, deklarując zainteresowanie jej firmą, i proponują spotkanie online. Po nawiązaniu połączenia ofiary otrzymują komunikat o błędzie z instrukcjami, aby skontaktować się z administratorem lub zespołem wsparcia.

Po nawiązaniu kontaktu z fałszywym wsparciem, ofiara jest proszona o pobranie pliku AppleScript (.scpt) lub Visual Basic Script (.vbs), w zależności od używanego systemu operacyjnego. Plik ten służy do zainstalowania złośliwego oprogramowania, które umożliwia atakującym przejęcie danych uwierzytelniających oraz portfeli kryptowalut.

Fałszywe rekrutacje na LinkedIn

Sapphire Sleet stosuje również inną metodę – podszywanie się pod rekruterów znanych firm finansowych, takich jak Goldman Sachs. Za pomocą fałszywych profili na LinkedIn grupa kontaktuje się z ofiarami, prosząc o wypełnienie testów umiejętności na stronie kontrolowanej przez atakujących. Ofiary otrzymują dane logowania, które prowadzą do pobrania złośliwego oprogramowania na ich urządzenia.

Wykorzystanie pracowników IT z Korei Północnej

Microsoft zwraca uwagę na jeszcze inny aspekt działań Korei Północnej – wysyłanie tysięcy specjalistów IT za granicę. Ich praca przynosi reżimowi korzyści na trzech poziomach:

Generowanie legalnych dochodów z pracy na zlecenie.

Kradzież własności intelektualnej dzięki uzyskanym dostępom.

Pozyskiwanie danych w celu wymuszeń lub dalszych działań cyberprzestępczych.

Specjaliści IT z Korei Północnej korzystają z pomocy pośredników, aby zakładać konta bankowe, numery telefonów czy profile na platformach takich jak GitHub czy LinkedIn. Tworzą również fałszywe portfolio, które służy do aplikowania na zdalne stanowiska pracy.

Wykorzystanie sztucznej inteligencji

Cyberprzestępcy z Korei Północnej coraz częściej sięgają po narzędzia sztucznej inteligencji, takie jak Faceswap, aby edytować zdjęcia lub dokumenty skradzione ofiarom. Dzięki temu tworzą profesjonalnie wyglądające CV i profile, które są następnie wykorzystywane do aplikowania na stanowiska pracy. W niektórych przypadkach wykorzystują te same zdjęcia do tworzenia kilku różnych tożsamości.

Co więcej, Microsoft zauważa, że północnokoreańscy specjaliści IT eksperymentują z oprogramowaniem do zmiany głosu, co pozwala im jeszcze skuteczniej podszywać się pod różne osoby podczas rozmów rekrutacyjnych.

Skala problemu

Według Microsoftu północnokoreańscy specjaliści IT wykazują się dużą organizacją i precyzją w śledzeniu swoich dochodów. W ramach opisanych działań udało im się zgromadzić co najmniej 370 tysięcy dolarów, co pokazuje skalę i skuteczność ich operacji.

Podsumowanie

Działania grupy Sapphire Sleet i szeroko zakrojone kampanie socjotechniczne prowadzone przez północnokoreańskich specjalistów IT pokazują, jak poważnym zagrożeniem jest cyberprzestępczość na globalną skalę. Organizacje i użytkownicy powinni zachować szczególną ostrożność, zwłaszcza w kontaktach online, oraz inwestować w zaawansowane systemy zabezpieczeń, aby minimalizować ryzyko takich ataków.

Oryginalny tekst dzięki subskrybcji newslettera od Lets Defend znajduje się pod adresem: https://thehackernews.com/2024/11/north-korean-hackers-steal-10m-with-ai.html