Основные сведения
- В новостях о криптовалютах особое внимание было уделено фишинговой атаке на протокол Humanity.
- Злоумышленники получили доступ с помощью поддельного вложения в электронном письме от Bithumb.
- Следователи установили связь между характеристиками вредоносного ПО и лицами, предположительно связанными с КНДР.
Проект Humanity Protocol сообщил о серьезном инциденте в сфере безопасности, произошедшем после того, как злоумышленники получили доступ к устройству одного из сотрудников и похитили токены проекта. Компания Quantstamp, специализирующаяся на безопасности блокчейнов, провела расследование инцидента и пришла к выводу, что атака была инициирована фишинговой кампанией, которая по своим признакам напоминала операции, ранее связанные с северокорейскими злоумышленниками.
Этот инцидент стал очередным примером растущего числа новостей о криптовалютах, связанных с киберпреступностью, спонсируемой государством и направленной против компаний, работающих с цифровыми активами. Компании, занимающиеся вопросами безопасности, неоднократно предупреждали, что фишинг по-прежнему остается одним из наиболее эффективных методов кражи криптовалютных активов и получения доступа к системам с привилегированным доступом.
В новостях о криптовалютах основное внимание уделяется точкам проникновения фишеров
Согласно отчету о происшествии, подготовленному компанией Quantstamp, атака началась с фишинкового письма, в котором злоумышленники выдали себя за южнокорейскую биржу Bithumb. Сообщение содержало вредоносное вложение, замаскированное под обновление графика блокировки токенов. После открытия файла на компьютер жертвы устанавливалось вредоносное ПО, которое предоставляло злоумышленникам возможность удаленного управления устройством.
Следователи установили, что взломанный ноутбук принадлежал директору Humanity Protocol Чонг И Вай. Получив доступ к устройству, злоумышленники смогли похитить учетные данные и закрытые ключи кошелька MetaMask. Затем операция развивалась стремительно, что позволило осуществить несанкционированные переводы с кошельков, связанных с проектом.
Вредоносное ПО содержало цифровую подпись, связанную с южнокорейским поставщиком программного обеспечения Hancom. Компания Quantstamp сообщила, что аналогичные сертификаты встречались в предыдущих кампаниях, которые приписывались злоумышленникам, действующим из Корейской Народно-Демократической Республики. Этот факт укрепил подозрения относительно причастности данной группы.
Атака на «Humanity Protocol» вписывается в общую картину действий КНДР
Исследование CertiK показало, что в прошлом году основную долю убытков от краж криптовалюты по-прежнему приходилось на долю субъектов, связанных с Северной Кореей. Аналитики в области безопасности отметили тенденцию к сокращению количества атак при одновременном увеличении их масштабов. Такая динамика свидетельствует об улучшении целенаправленности атак и повышении оперативной дисциплины среди групп злоумышленников.
Взлом протокола Humanity Protocol повторял ряд приемов, наблюдавшихся в предыдущих кампаниях. Злоумышленники полагались на социальную инженерию, а не на прямую эксплуатацию уязвимостей смарт-контрактов. Они выбирали в качестве мишеней лиц, обладающих привилегированным доступом, а затем использовали похищенные учетные данные для обхода технических мер защиты.
Компании, занимающиеся вопросами безопасности, неоднократно предупреждали, что фишинг по-прежнему остается одним из наиболее эффективных способов атак на цифровые активы. Многие инциденты начинались с писем, выглядящих достоверно, поддельных предложений о работе или обновлений программного обеспечения. Как только жертвы предоставляли доступ, злоумышленники часто перемещались по внутренним системам, прежде чем приступать к краже данных.
Исследователи также отметили, что криптовалюта по-прежнему остается привлекательной благодаря быстрой обработке транзакций и возможности осуществлять операции в разных юрисдикциях. Возврат похищенных средств затрудняется после того, как они проходят через множество кошельков и каналов отмывания денег. Эта проблема по-прежнему заставляет проекты усиливать меры безопасности в отношении своих сотрудников.
Новости о криптовалютах свидетельствуют о растущих рисках для безопасности
Протокол Humanity работает в сфере децентрализованной идентификации, где доверие пользователей по-прежнему играет ключевую роль в распространении технологии. Данный инцидент вызвал вопросы скорее относительно мер операционной безопасности, чем относительно архитектуры блокчейна. Следователи не обнаружили доказательств того, что злоумышленники воспользовались уязвимостью на уровне протокола.
Напротив, этот инцидент продемонстрировал риски, связанные с безопасностью конечных устройств и управлением ключами. Организации зачастую вкладывают значительные средства в аудит смарт-контрактов, упуская из виду уязвимости, связанные с сотрудниками. Злоумышленники все чаще выбирают в качестве мишени отдельных лиц, поскольку поведение людей зачастую создает более доступные точки проникновения.
Последние тенденции в сфере безопасности свидетельствуют о все более широком использовании вредоносного ПО, маскирующегося под легитимные деловые сообщения. Уведомления системы Exchange, предложения о сотрудничестве и сообщения об обновлениях по распределению токенов стали распространёнными приманками. Эти тактики оказались успешными, поскольку получатели часто взаимодействовали с такими сообщениями в ходе повседневной работы.
Отраслевые эксперты отмечали, что более строгое разделение кошельков и аппаратные средства защиты могут снизить подобные риски. Многоуровневые системы аутентификации также позволяли ограничить ущерб в случае взлома устройств. Однако ни одна из мер безопасности не позволяла полностью устранить угрозы фишинга.
Следующий этап расследования, вероятно, будет посвящён отслеживанию движения средств и выявлению схем отмывания денег. Исследователи в области кибербезопасности будут отслеживать активность кошельков на предмет связей с ранее зафиксированными сетями злоумышленников. Участники рынка также будут следить за появлением дополнительных доказательств, связывающих эту операцию с известными северокорейскими группировками.
