Thomasa Danielsa
Zgodnie ze szczegółowym badaniem pośmiertnym, haker sponsorowany przez państwo Korei Północnej outfit był odpowiedzialny za 50-milionowy atak na Radiant Capital. Za pośrednictwem fałszywego czatu Telegram atakujący, których rozpoznano jako należących do grupy zagrożeń UNC4736 — znanej również jako Citrine Sleet — wdrożyli złośliwe oprogramowanie, korzystając z wyrafinowanych technik inżynierii społecznej.
Aby uzyskać dostęp do Radiant Capital, hakerzy udawali „zaufanego byłego kontrahenta” i wykorzystali legalność ustanowionego połączenia. Twierdzili, że mają raport na temat exploita Penpie, poprzedniego incydentu w obszarze DeFi, w spakowanym pliku PDF, którym podzielili się za pośrednictwem Telegrama. Jednak złośliwe oprogramowanie INLETDRIFT, które stworzyło tylne wejście w systemach macOS, było obecne w pliku zip.
Zmieniając interfejs Safe{Wallet} — wcześniej znany jako Gnosis Safe — ten hack ujawnił portfele sprzętowe co najmniej trzech programistów Radiant. Malware przeprowadzał oszukańcze transakcje w tle, podczas gdy interfejs pokazywał prawidłowe dane transakcji.
Mimo że firma Radiant Capital stosowała standardowe procedury bezpieczeństwa, takie jak weryfikacja ładunku i symulacje Tenderly, atakującym udało się zhakować kilka komputerów deweloperów.
Mandiant, firma zajmująca się cyberbezpieczeństwem, powiązała atak z UNC4736, aktorem zagrożeń powiązanym z DPRK, który ma historię wykorzystywania firm bitcoinowych. Organizacja jest również znana z atakowania giełd bitcoinowych i rozprzestrzeniania złośliwego oprogramowania AppleJeus. Szacunki wskazują, że około 3 miliardów dolarów zostało zdefraudowanych z branży kryptowalutowej w latach 2017–2023, a uważa się, że dochody te wspierają program broni jądrowej Korei Północnej.
UNC4736 zaatakował organizacje skupione na kryptowalutach na początku tego roku, wykorzystując lukę typu zero-day w przeglądarce Chromium, omijając zabezpieczenia piaskownicy. FBI zwróciło uwagę na zmieniające się strategie grupy, które obejmują podszywanie się pod specjalistów IT w celu uzyskania dostępu do systemów finansowych i przedsiębiorstw.
Globalne instytucje finansowe są coraz bardziej narażone na cyberprzestępczość północnokoreańską, zwłaszcza w obszarze kryptowalut. Badacze z Cyberwarcon Cybersecurity Conference twierdzą, że hakerzy sponsorowani przez państwo północnokoreańskie ukradli ponad 10 milionów dolarów w ciągu zaledwie sześciu miesięcy, podszywając się pod prawdziwych pracowników znanych firm.
Sprawa Radiant Capital podkreśla pilną potrzebę zwiększenia świadomości, wielowarstwowych środków bezpieczeństwa i międzynarodowej współpracy w celu zwalczania ryzyka związanego z cyberatakami wspieranymi przez państwa, podczas gdy branża kryptowalut zmaga się z coraz bardziej złożonymi atakami.
