BitMEX blokuje atak grupy Lazarus

Giełda kryptowalut BitMEX z powodzeniem udaremniła próbę cyberataku przeprowadzonego przez grupę Lazarus – jedną z najgroźniejszych organizacji hakerskich na świecie, działającą pod egidą reżimu Korei Północnej. Paradoksalnie, mimo swojej reputacji, cyberprzestępcy zastosowali stosunkowo proste metody.

Klasyczny atak socjotechniczny

W opublikowanym komunikacie BitMEX ujawnił szczegóły próby oszustwa. Jeden z pracowników giełdy został skontaktowany przez fałszywego rekrutera na platformie LinkedIn. Przestępca pod pretekstem współpracy przy projekcie Web3 NFT próbował nakłonić ofiarę do pobrania i uruchomienia złośliwego kodu z serwisu GitHub.

Taki modus operandi to charakterystyczny znak rozpoznawczy grupy Lazarus, która regularnie wykorzystuje ataki socjotechniczne jako pierwszy krok do infiltracji systemów swoich celów. Zespół bezpieczeństwa BitMEX szybko zidentyfikował szkodliwe oprogramowanie ukryte w pliku JavaScript i powiązał je z infrastrukturą wcześniej przypisywaną tej grupie hakerskiej.

Interesującym tropem okazał się adres IP pochodzący z chińskiego miasta Jiaxing, położonego około 100 kilometrów od Szanghaju, z którego przeprowadzono atak.

Kim są hakerzy z grupy Lazarus?

Lazarus to zbiorczy termin określający kilka zespołów hakerskich działających pod kontrolą władz Korei Północnej. Ich głównym celem jest kradzież kryptowalut, które następnie służą do finansowania krajowego programu zbrojeń. Eksperci szacują, że nawet połowa budżetu przeznaczonego na rozwój rakiet może pochodzić właśnie z cyberprzestępczości.

Skala działalności tej organizacji jest imponująca. Według danych firmy Chainalysis, w 2024 roku północnokoreańscy hakerzy wykradli 1,34 miliarda dolarów w kryptowalutach, co stanowi aż 61% wszystkich światowych strat wynikających z tego typu ataków. To dwukrotny wzrost w porównaniu z poprzednim rokiem.

Lazarus nie funkcjonuje jako jednolita organizacja – to raczej sieć kilku zespołów o różnym poziomie zaawansowania technicznego. Podczas gdy niektóre grupy stosują podstawowe metody jak phishing czy fałszywe oferty pracy, inne wykorzystują zaawansowane techniki, w tym modyfikacje smart kontraktów czy manipulacje infrastruktury chmurowej.

Codzienne zagrożenie

Snir Levi, założyciel firmy Nominis, ostrzega, że choć metody działania Lazarusa są coraz lepiej rozpoznawalne, grupa nie przestała być niebezpieczna. "Zbieramy wiele zgłoszeń od osób prywatnych i z łatwością można założyć, że próbują oszukiwać ludzi każdego dnia" – komentuje ekspert.

Przykłady z ostatnich miesięcy pokazują skalę zagrożenia. W lutym 2024 roku hakerzy wykradli ponad 1,4 miliarda dolarów z giełdy Bybit po zmanipulowaniu pracownika firmy Safe Wallet, który nieświadomie uruchomił złośliwy kod na swoim komputerze. W innej kampanii skierowanej przeciwko Radiant Capital cyberprzestępcy rozesłali zainfekowane pliki PDF.

Raport BitMEX to kolejny dowód na nieprzerwane działania grupy Lazarus. Kilka dni wcześniej firma Kraken również opisała próbę zatrudnienia się przez północnokoreańskiego hakera w ramach procesu rekrutacyjnego.

Ostrożność kluczem do bezpieczeństwa

Choć stosowane metody często wydają się proste, ich skutki mogą być katastrofalne zarówno dla firm, jak i użytkowników indywidualnych. Kluczowa jest zatem ostrożność, szczególnie przy kontaktach z nieznajomymi w mediach społecznościowych oraz podczas otwierania podejrzanych plików czy linków.

Przypadek BitMEX pokazuje, że właściwie przygotowane zespoły bezpieczeństwa mogą skutecznie odpierać tego typu ataki. Jednak stale rosnąca aktywność grup takich jak Lazarus wymaga ciągłej czujności i inwestycji w cyberbezpieczeństwo