Щойно я дізнався про досить тривожну ситуацію у сфері криптозахисту. Команда Mandiant з Google Cloud повідомила про кібероперацію, пов’язану з Північною Кореєю, яка тихо цілиться у крипто- та фінтех-компанії, використовуючи дуже складні тактики.

Що мене особливо вразило, так це наскільки все це скоординовано. Ми говоримо про групу загроз, яку вони називають UNC1069, яка з 2018 року нарощує свою діяльність, і тепер вони одночасно використовують сім різних сімей шкідливого програмного забезпечення. Це не випадково — очевидно, що у них є хороші ресурси і цілеспрямованість.

Технічна сторона ситуації викликає особливу тривогу. Два нові виявлені зразки шкідливого ПЗ, CHROMEPUSH і DEEPBREATH, спеціально розроблені, щоб обійти засоби безпеки ОС і отримати доступ до конфіденційних даних. Вони не просто використовують універсальні інструменти — це цілеспрямовані засоби. Також у цій схемі присутній SILENCELIFT, частина більшого набору інструментів, створених для збору та ексфільтрації будь-яких даних, які вони можуть отримати.

Але тут стає ще страшніше. Вони не покладаються лише на технічні експлойти. У звіті Mandiant детально описано, як вони компрометують акаунти у Telegram і створюють фальшиві зустрічі у Zoom з AI-згенерованими deepfake відео. Як тільки вас залучають до розмови, вони вводять вас у оману, змушуючи виконувати приховані команди через так звані атаки ClickFix. Це соціальна інженерія у надзвичайно розвиненій формі — поєднання AI-згенерованого контенту з соціальним маніпулюванням.

Операція, пов’язана з Північною Кореєю, явно спрямована на крипто- та фінтех-сектор, що цілком логічно враховуючи геополітичну напругу і потенційний фінансовий виграш. Якщо ви працюєте у цій галузі, це варто сприймати серйозно. Посилюйте свої заходи безпеки, будьте скептичні щодо непроханих відеодзвінків і обов’язково не довіряйте випадковим посиланням або командам від неперевірених джерел.

Такий скоординований кампаній показує, наскільки державні актори зосереджені на криптоіндустрії. Це точно варто тримати під контролем.