Эстонская компания CoinsPaid, специализирующаяся на криптовалютных платежах, подозревает, что северокорейские хакеры из Lazarus Group получили доступ к ее системам через подставных рекрутеров, нацеленных на сотрудников.

В своем блоге от 7 августа компания CoinsPaid сообщила, что эксплойт, который позволил хакерам 22 июля похитить более 37 млн. долларов США, был получен в результате того, что одного из сотрудников обманом заставили загрузить программное обеспечение во время фиктивного собеседования, заставив поверить, что он выполняет техническое задание. По данным компании, сотрудник откликнулся на предложение хакеров о работе и загрузил вредоносный код, что позволило злоумышленникам похитить информацию и получить доступ к инфраструктуре CoinsPaid.

"Получив доступ к инфраструктуре CoinsPaid, злоумышленники воспользовались уязвимостью в кластере и открыли бэкдор", - говорится в сообщении CoinsPaid. "Полученные на этапе разведки знания позволили злоумышленникам воспроизвести легитимные запросы на интерфейсы взаимодействия с блокчейном и вывести средства компании из нашего оперативного хранилища."

Мы точно знаем, как злоумышленники похитили и отмыли 37 млн долларов США

Компания CoinsPaid пригласила к сотрудничеству @MatchSystems, которая в сотрудничестве с правоохранительными органами и регуляторами сопровождает процесс возврата украденных #криптоактивов.

Подробнее: https://t.co/jLF3ICo603 pic.Twitter.com/0gDy9CJcS7

- CoinsPaid (@coinspaid) 7 августа 2023 г.

В своем отчете о вскрытии взлома, опубликованном 26 июля, компания CoinsPaid сообщила, что подозревает Lazarus Group. До взлома на сумму 37 млн. долл. хакеры предприняли несколько попыток проникнуть на платформу, начиная с марта 2023 года, но после многочисленных неудач перешли к "очень сложным и энергичным методам социальной инженерии", нацелившись на отдельных сотрудников, а не на саму компанию.

Отслеживание средств, похищенных с сайта CoinsPaid 22 июля. Источник: CoinsPaid
Отслеживание средств, похищенных с сайта CoinsPaid 22 июля. Источник: CoinsPaid

Компания CoinsPaid заявила, что сотрудничает с компанией Match Systems, занимающейся вопросами безопасности блокчейна, для отслеживания похищенных средств, большая часть которых была переведена на SwftSwap. По словам представителей компании, многие аспекты транзакций хакеров повторяют операции Lazarus Group, как и в случае взлома Atomic Wallet на 35 млн. долл. в июне. По состоянию на 7 августа компания продолжала отслеживать любые перемещения средств.

Журнал: Стоит ли криптопроектам вообще вести переговоры с хакерами? Вероятно,

Источник