Thomas Daniels

Veröffentlicht am: 09
Teilt es!
Nordkoreanische Hacker erbeuten Radiant Capital mit ausgeklügeltem Angriff und erbeuten 50 Millionen US-Dollar
By Veröffentlicht am: 09
Nordkorea

Einer gründlichen Obduktion zufolge ein vom nordkoreanischen Staat gesponserter Hacker Die Organisation war für einen Exploit im Wert von 50 Millionen US-Dollar verantwortlich, der auf Radiant Capital abzielte. Über einen gefälschten Telegram-Chat verbreiteten die Angreifer, die als Angehörige der Bedrohungsgruppe UNC4736 – auch bekannt als Citrine Sleet – identifiziert wurden, Malware mithilfe ausgefeilter Social-Engineering-Techniken.

Um Zugang zu Radiant Capital zu erhalten, gaben sich die Hacker als „vertrauenswürdiger ehemaliger Auftragnehmer“ aus und nutzten die Legitimität einer bestehenden Verbindung. Sie behaupteten, einen Bericht über den Penpie-Exploit, einen früheren Vorfall im DeFi-Bereich, in einer komprimierten PDF-Datei zu haben, die sie über Telegram teilten. In der Zip-Datei war jedoch die Malware INLETDRIFT vorhanden, die eine Hintertür auf macOS-Systemen erstellte.

Durch die Änderung der Safe{Wallet}-Schnittstelle – früher bekannt als Gnosis Safe – legte dieser Hack die Hardware-Wallets von mindestens drei Radiant-Entwicklern offen. Die Malware führte im Hintergrund betrügerische Transaktionen durch, während die Schnittstelle gültige Transaktionsdaten anzeigte.

Obwohl Radiant Capital branchenübliche Sicherheitsverfahren wie Payload-Überprüfungen und Tenderly-Simulationen verwendete, gelang es den Angreifern dennoch, mehrere Entwicklermaschinen zu kompromittieren.

Mandiant, ein Cybersicherheitsunternehmen, brachte den Angriff mit UNC4736 in Verbindung, einem Bedrohungsakteur mit Verbindungen zur Demokratischen Volksrepublik Korea, der bereits in der Vergangenheit Bitcoin-Unternehmen ausgenutzt hat. Die Organisation ist auch dafür berüchtigt, Bitcoin-Börsen anzugreifen und die AppleJeus-Malware zu verbreiten. Schätzungen zufolge wurden zwischen 3 und 2017 etwa 2023 Milliarden Dollar aus der Kryptowährungsbranche veruntreut, und man geht davon aus, dass die Erlöse Nordkoreas Atomwaffenprogramm zugutekommen.

UNC4736 zielte Anfang des Jahres auf kryptofokussierte Organisationen ab, indem es eine Zero-Day-Schwachstelle im Chromium-Browser ausnutzte und so dessen Sandbox-Sicherheit umging. Das FBI hat auf die wechselnden Strategien der Gruppe aufmerksam gemacht, zu denen auch das Ausgeben als IT-Spezialisten gehört, um Zugang zu Finanzsystemen und Unternehmen zu erhalten.

Globale Finanzinstitute sind zunehmend durch nordkoreanische Cyberkriminalität gefährdet, insbesondere im Bereich der Kryptowährungen. Forscher auf der Cyberwarcon Cybersecurity Conference behaupten, dass vom nordkoreanischen Staat gesponserte Hacker in nur sechs Monaten mehr als 10 Millionen Dollar gestohlen haben, indem sie sich als echte Mitarbeiter bekannter Unternehmen ausgaben.

Der Fall Radiant Capital unterstreicht die dringende Notwendigkeit einer erhöhten Sensibilisierung, mehrschichtiger Sicherheitsmaßnahmen und internationaler Zusammenarbeit zur Bekämpfung der Risiken staatlich unterstützter Cyberangriffe, da die Kryptoindustrie mit immer komplexeren Angriffen zu kämpfen hat.

Quelle