Только что узнал о серьезных новостях в криптоиндустрии, за которыми стоит следить. Команда Mandiant из Google Cloud недавно опубликовала отчет о довольно сложной хакерской операции, связанной с Северной Кореей, которая активно нацелена на криптовалютные и финтех-компании. Они называют этот кластер угроз UNC1069, и честно говоря, уровень координации вызывает тревогу.

Что привлекло мое внимание, так это то, как они усилили свои действия с тех пор, как Mandiant начала отслеживать их еще в 2018 году. Мы говорим о семи различных семейств вредоносных программ, развернутых в скоординированных атаках для кражи конфиденциальных данных у целей. Самые названия уже говорят о том, что это специально созданные инструменты: SILENCELIFT, DEEPBREATH и CHROMEPUSH — новые дополнения к их арсеналу.

Особенно выделяется социальная инженерия. Они уже не используют обычный фишинг. Эти ребята используют взломанные аккаунты Telegram и устраивают фальшивые встречи в Zoom с помощью AI-сгенерированных дипфейков, чтобы обмануть жертв и заставить их выполнять скрытые команды. Это то, что исследователи безопасности называют атаками ClickFix, и они оказываются довольно эффективными.

Два из новых видов вредоносных программ, CHROMEPUSH и DEEPBREATH, специально созданы для обхода критических защит ОС и извлечения личных данных. Так что, если вы работаете в криптосфере — будь то биржа, финтех-платформа или управление цифровыми активами — это определенно то, о чем должна знать ваша команда безопасности.

Этот вид новостей о криптовалютах напоминает, что угроза постоянно развивается. Целенаправленная атака на криптовалютные компании показывает, что эти злоумышленники знают, где находится ценность, и вкладывают серьезные ресурсы в взлом. Стоит воспринимать это всерьез, если вы хоть как-то связаны с индустрией.