Hakkerit Hyödyntävät Radiant Capitalia Haittaohjelman Avulla, 50 Miljoonaa Dollaria Varastettu Ryöstössä

Haittaohjelmien saastuttama PDF, jonka Radiant Capitalin insinöörit vastaanottivat, mahdollisti Pohjois-Korealaisten hakkerien varastaa yli 50 miljoonaa dollaria.

Äskettäisessä jatkoseurantaraportissa Radiant, Mandiantin avustamana, paljasti lisätietoja. 11. syyskuuta 2024 Radiantin kehittäjä sai Telegram-viestin entisen sopimustyöntekijän henkilöllisyyttä väärinkäyttäneeltä taholta.

Viesti, joka väitettiin olevan entiseltä urakoitsijalta, sisälsi linkin pakattuun PDF-tiedostoon. Väitetysti uuteen älykkäiden sopimusten auditointiprojektiin liittyvä dokumentti pyysi ammattimaista palautetta.

ZIP-tiedostoon liitetty verkkotunnus jäljitteli vakuuttavasti urakoitsijan legitiimiä verkkosivustoa, ja pyyntö vaikutti rutiinimaiselta ammattipiireissä. Kehittäjät vaihtavat usein PDF-tiedostoja tehtäviin, kuten oikeudellisiin arviointeihin tai teknisiin auditeihin, mikä vähensi alkuun kohdistunutta epäilystä.

Luottaen lähteeseen, vastaanottaja jakoi tiedoston kollegoidensa kanssa, asettaen tietämättään näyttämön kyberkeikalle.

Radiant-tiimin tietämättä ZIP-tiedosto sisälsi INLETDRIFT-nimisen kehittyneen macOS-haittaohjelman, joka oli naamioitu ”laillisen” asiakirjan sisälle. Kun se aktivoitiin, haittaohjelma loi pysyvän salatien käyttäen haitallista AppleScriptiä.

Haittaohjelman suunnittelu oli hienostunutta, sillä se näytti käyttäjille vakuuttavan PDF:n samalla, kun se toimi huomaamattomasti taustalla.

Huolimatta Radiantin tiukoista kyberturvallisuuskäytännöistä – mukaan lukien transaktiosimulaatiot, kuormituksen varmistus ja noudattaminen alan standardikäyttöprosesseissa (SOPs) – haittaohjelma onnistui soluttautumaan ja vaarantamaan useita kehittäjälaitteita.

Hyökkääjät hyödynsivät sokkoa allekirjoittamista ja väärennettyjä käyttöliittymiä, näyttäen vaarattomia transaktiotietoja peittääkseen pahantahtoiset toimet. Tämän seurauksena petolliset transaktiot toteutettiin havaitsematta.

Valmistautuessaan ryöstöön, hyökkääjät asettivat pahantahtoisia älykkäitä sopimuksia useille alustoille, mukaan lukien Arbitrum, Binance Smart Chain, Base ja Ethereum. Vain kolme minuuttia varkauden jälkeen he poistivat jäljet takaportistaan ja selainlaajennuksistaan.

Ryöstö toteutettiin tarkkuudella: vain kolme minuuttia varastettujen varojen siirtämisen jälkeen hyökkääjät pyyhkivät jäljet takaportistaan ja siihen liittyvistä selaimen laajennuksista, mikä vaikeutti entisestään rikosteknillistä analyysia.

Mandiant yhdistää hyökkäyksen UNC4736:een, joka tunnetaan myös nimellä AppleJeus tai Citrine Sleet, ryhmä joka on yhteydessä Pohjois-Korean tiedustelun yleisesikuntaan (RGB). Tämä tapaus korostaa haavoittuvuuksia sokeassa allekirjoittamisessa ja etupään vahvistuksissa, korostaen kiireellistä tarvetta laitteistotason ratkaisuille varmistaakseen transaktioiden sisällön todennuksen.

Radiant tekee yhteistyötä Yhdysvaltain lainvalvontaviranomaisten, Mandiantin ja zeroShadow’n kanssa jäädyttääkseen varastetut varat. DAO pysyy sitoutuneena tukemaan toipumispuitteita ja jakamaan oivalluksia teollisuudenlaajuisten turvallisuusstandardien parantamiseksi.