„Hakerzy uzyskali dostęp do komputera programisty, podając się za byłego kontrahenta.”, — informuje: www.coindesk.com
Według raportu opublikowanego 6 grudnia napastnicy zaczęli przygotowywać podwaliny pod atak z 16 października w połowie września, kiedy wiadomość na Telegramie od czegoś, co wyglądało na zaufanego byłego wykonawcę, została wysłana do dewelopera Radiant Capital.
W wiadomości wskazano, że wykonawca szuka nowej możliwości kariery związanej z audytem inteligentnych kontraktów i prosi o opinię. Zawierało łącze do spakowanego pliku PDF, który programista otworzył i udostępnił innym współpracownikom.
Z raportu wynika obecnie, że wiadomość pochodzi od „ugrupowania zagrażającego powiązanego z KRLD”, który podszywał się pod wykonawcę. Plik zawierał złośliwe oprogramowanie o nazwie INLETDRIFT, które utworzyło trwałego backdoora dla systemu macOS podczas wyświetlania użytkownikowi legalnie wyglądającego pliku PDF.
Radiant Capital stwierdził, że tradycyjne kontrole i symulacje nie wykazały żadnych oczywistych rozbieżności, dzięki czemu zagrożenie było praktycznie niewidoczne na normalnych etapach przeglądu.
Dzięki dostępowi do komputerów hakerom udało się przejąć kontrolę nad kilkoma kluczami prywatnymi.
Powiązanie z Koreą Północną zostało zidentyfikowane przez firmę Mandiant zajmującą się cyberbezpieczeństwem, chociaż dochodzenie jest nadal niekompletne. Mandiant oświadczył, że wierzy, że atak został zorganizowany przez UNC4736, grupę powiązaną z krajowym Biurem Generalnym Rozpoznania. Znany jest również jako AppleJeus lub Citrine Sleet.
Grupa była zamieszana w kilka innych ataków powiązanych z firmami kryptowalutowymi. Wcześniej wykorzystywał fałszywe witryny wymiany kryptowalut, aby nakłonić ludzi do pobrania złośliwego oprogramowania za pośrednictwem linków do ofert pracy i fałszywych portfeli.
Incydent nastąpił po wcześniejszym niepowiązanym włamaniu do Radiant Capital w styczniu, podczas którego stracił on 4,5 miliona dolarów.
Ikona X
