Badacze z Kaspersky Labs zajmujący się bezpieczeństwem w sieci blockchain zasugerowali ostatnio, że pochodząca z Korei Północnej grupa hakerska Lazarus może używać Telegramu, by za jego pośrednictwem dokonywać kradzieży kryptowalut.

Korea Północna – grupa hakerska Lazarus

Korea Północna od dawna podejrzewana jest o korzystanie z ciemnych możliwości, jakie niosą ze sobą kryptowaluty. Spekuluje się, że pracujący dla tamtejszego rządu hakerzy północnokoreańscy starają się kraść cyfrowe pieniądze, aby móc za ich pomocą opłacać nielegalną działalność północnokoreańską na świecie. Słynna w społeczności kryptowalutowej stała się przede wszystkim grupa o nazwie Lazarus.

Ostatnie z opublikowanych przez analityków z Kaspersky oświadczeń mówi o tym, że obecne przesłanki wskazują na podwojenie wysiłków przez hakerów z Lazarus mających na celu kradzież jak największej ilości cyfrowego pieniądza. Podczas nowych analiz znaleziono również dowody na to, ze Lazarus zmienił metody używane do wcześniejszych różnorakich kradzieży pieniędzy w świecie wirtualnym.

Lazarus nadal kradnie cyfrowe waluty, tak jak robiła to wcześniej, ale używa innych metod. W oświadczeniu Kaspersky przeczytamy m.in., że: “Jej członkowie stosują bardziej skuteczne taktyki i podejmują ostrożniejsze kroki”  oraz to, że ostatnie prace grupy koncentrowały się na poprawieniem “swojej niewidzialności”  w czasie, gdy infekują systemy i przejmują dostęp do cyfrowych walut.

Operacje kradzieży mają według Kaspersky być przeprowadzane za pomocą szkodliwego oprogramowania wykorzystującego pamięć RAM. W tym wypadku program nie znajduje się jednak na dyskach twardych, a to pozwala pozostać niewykrytym. Analitycy uważają również, że Lazarus korzysta z Telegramu.

W jaki sposób odbywa się atak?

“Operacja APpleJeus Sequel”  to nazwa nowej kampanii grupy Lazarus, będącej kontynuacją kampanii “APpleJeus”, którą udało się odkryć w roku 2018. W nowej kampanii jedno pozostało nie zmienione, gdyż nadal do zwabienia inwestorów, a w konsekwencji do ich okradzenia, stosuje się fałszywe firmy zajmujące się handlem kryptowalutami.

Całość jest skonstruowana tak, że fałszywe podmioty są obecne w sieci, maja własne witryny i zawierają linki do fałszywych grup traderskich właśnie na Telegramie. dokąd zwabiane są przyszłe ofiary Lazarusa. Ponadto grupa używa aplikacji Telegramu do dystrybuowania złośliwego, infekującego system operacyjny Windows oprogramowania, a biorąc pod uwagę to, jak wiele osób na świecie, także używających kryptowalut, używa właśnie produktu Microsoftu, zasięg infekcji może być ogromny.

Wystarczy, że system atakowanej osoby zostanie zainfekowany, a hakerzy natychmiast uzyskują do niego zdalny dostęp i przywłaszczają sobie kryptowaluty owego użytkownika. Jak dotąd udało się zidentyfikować wielu okradzionych w Europie, ale nie tylko, bo i również zaatakowano Chińczyków. Jakby tego było mało, nie chodzi wyłącznie o osoby fizyczne, ale również o firmy działające w branży kryptowalutowej. Jednego, czego nie wiadomo, to jaki rozmiar kradzieży przyniosła ostatnia kampania Lazarusa.