Vigtige indsigter
- Krypto-nyhederne satte fokus på et phishing-angreb mod Humanity Protocol.
- Hackerne fik adgang via en falsk vedhæftet fil i en e-mail fra Bithumb.
- Efterforskerne sporede spor af ondsindet software tilbage til formodede operatører i Nordkorea.
Humanity Protocol har afsløret et alvorligt sikkerhedsbrud, efter at angribere fik adgang til en medarbejders enhed og stjal projekt-tokens. Blockchain-sikkerhedsfirmaet Quantstamp har undersøgt hændelsen og konkluderet, at angrebet stammede fra en phishing-kampagne, der bar præg af træk, der tidligere er blevet knyttet til nordkoreanske trusselsaktører.
Hændelsen bidrog til den stigende mængde nyheder om kryptovaluta, der omhandler statsstøttet cyberkriminalitet rettet mod virksomheder inden for digitale aktiver. Sikkerhedsfirmaer har gentagne gange advaret om, at phishing fortsat er en af de mest effektive metoder til at stjæle kryptoaktiver og få adgang til systemer med særlige rettigheder.
Krypto-nyheder sætter fokus på indgangsvinkler til phishing
Ifølge Quantstamps hændelsesrapport begyndte angrebet med en vildledende e-mail, der udgav sig for at komme fra den sydkoreanske børs Bithumb. Beskeden indeholdt en ondsindet vedhæftet fil, der var forklædt som en opdatering af tidsplanen for token-låsning. Når filen blev åbnet, installerede den malware, der gav angriberne fjernadgang til måldatamaskinen.
Efterforskerne fandt ud af, at den kompromitterede bærbare computer tilhørte Humanity Protocols direktør, Chong Yee Wai. Adgangen til enheden gjorde det muligt for angriberne at udtrække loginoplysninger og private nøgler til MetaMask-tegnebogen. Herefter gik det hurtigt, og der blev foretaget uautoriserede overførsler fra tegnebøger tilknyttet projektet.
Malwaren var forsynet med en digital signatur, der kan tilknyttes den sydkoreanske softwareudbyder Hancom. Quantstamp oplyste, at lignende certifikater var dukket op i tidligere kampagner, der tilskrives aktører med base i Den Demokratiske Folkerepublik Korea. Dette fund styrkede mistanken om gruppens involvering.
Angrebet på Humanity Protocol passer ind i et bredere mønster fra Nordkorea
En undersøgelse fra CertiK viste, at aktører med tilknytning til Nordkorea fortsat stod bag størstedelen af tabene som følge af kryptotyverier i det forløbne år. Sikkerhedsanalytikere konstaterede en tendens mod færre, men større angreb. Dette mønster afspejlede en mere målrettet indsats og en stærkere operationel disciplin blandt trusselsgrupperne.
Bruddet på Humanity Protocol svarede til flere teknikker, der er set i tidligere kampagner. Angriberne benyttede sig af social manipulation i stedet for direkte udnyttelse af smartkontrakter. De rettede sig mod personer med privilegeret adgang og brugte derefter stjålne loginoplysninger til at omgå de tekniske sikkerhedsforanstaltninger.
Sikkerhedsfirmaer har gentagne gange advaret om, at phishing fortsat er en af de mest effektive angrebsmetoder mod digitale aktiver. Mange hændelser begyndte med e-mails, der så troværdige ud, falske jobtilbud eller softwareopdateringer. Når ofrene først havde givet adgang, bevægede de kriminelle sig ofte videre gennem de interne systemer, inden de gennemførte tyverierne.
Forskerne bemærkede desuden, at kryptovaluta fortsat er attraktiv, fordi transaktionerne afvikles hurtigt og foregår på tværs af landegrænser. Det bliver vanskeligt at spore stjålne midler, når pengene har passeret gennem flere tegnebøger og hvidvaskningskanaler. Denne udfordring har fortsat sat projekterne under pres for at styrke sikkerhedsprocedurerne for deres medarbejdere.
Krypto-nyheder afspejler stigende sikkerhedsrisici
Humanity Protocol opererer inden for sektoren for decentraliseret identitet, hvor brugernes tillid fortsat er afgørende for udbredelsen. Sikkerhedsbruddet rejste spørgsmål om de operationelle sikkerhedsforanstaltninger snarere end om blockchain-arkitekturen. Efterforskerne fandt ingen tegn på, at angriberne havde udnyttet en sårbarhed på protokolniveau.
I stedet viste hændelsen de risici, der er forbundet med sikkerheden af slutpunkter og nøgleadministration. Virksomheder investerer ofte store beløb i revision af smarte kontrakter, mens de overser de angrebsflader, der er knyttet til medarbejderne. Cyberkriminelle retter i stigende grad deres angreb mod enkeltpersoner, da menneskelig adfærd ofte udgør lettere indgangspunkter.
De seneste sikkerhedstendenser har vist en stigende brug af malware, der er forklædt som legitim forretningskommunikation. Meddelelser fra Exchange, forslag om partnerskaber og opdateringer om uddeling af tokens blev almindelige lokkemidler. Disse taktikker virkede, fordi modtagerne ofte reagerede på sådanne meddelelser som led i deres daglige arbejde.
Brancheeksperter påpegede, at en mere effektiv adskillelse af tegnebøger og hardwarebaseret sikkerhed kunne mindske sådanne risici. Flerstrengede godkendelsessystemer begrænsede desuden skaderne, når enhederne blev kompromitteret. Ingen enkelt sikkerhedsforanstaltning kunne dog helt fjerne truslen fra phishing.
Den næste fase af efterforskningen vil sandsynligvis fokusere på at spore pengestrømme og identificere hvidvaskningsruter. Sikkerhedsforskere vil overvåge aktiviteten i de digitale tegnebøger for at finde forbindelser til tidligere dokumenterede trusselsnetværk. Markedsaktørerne vil ligeledes holde øje med, om der dukker yderligere beviser op, der knytter operationen til kendte nordkoreanske grupper.