Βορειοκορεάτες χάκερ που στοχεύουν το JumpCloud εξέθεσαν κατά λάθος τις διευθύνσεις IP τους, λένε οι ερευνητές

Οι ερευνητές ασφαλείας λένε ότι έχουν μεγάλη εμπιστοσύνη ότι βορειοκορεάτες χάκερ κρύβονται πίσω από μια πρόσφατη εισβολή στην εταιρεία εταιρικού λογισμικού JumpCloud εξαιτίας ενός λάθους που έκαναν οι χάκερ.

Η Mandiant, η οποία βοηθά έναν από τους επηρεασμένους πελάτες του JumpCloud, απέδωσε την παραβίαση σε χάκερ που εργάζονται για το Reconnaissance General Bureau της Βόρειας Κορέας ή RGB, μια μονάδα χάκερ που στοχεύει εταιρείες κρυπτονομισμάτων και κλέβει κωδικούς πρόσβασης από στελέχη και ομάδες ασφαλείας. Η Βόρεια Κορέα χρησιμοποιεί εδώ και πολύ καιρό κλοπές κρυπτογράφησης για να χρηματοδοτήσει το πρόγραμμα πυρηνικών όπλων που έχει εγκρίνει.

Σε

μια ανάρτηση ιστολογίου

, η Mandiant είπε ότι η μονάδα

hacking

, την οποία ονομάζει UNC4899 (καθώς είναι μια νέα, μη ταξινομημένη ομάδα απειλών), αποκάλυψε κατά λάθος τις πραγματικές διευθύνσεις IP τους. Οι βορειοκορεάτες χάκερ χρησιμοποιούσαν συχνά εμπορικές υπηρεσίες VPN για να κρύψουν τις διευθύνσεις IP τους, αλλά σε «πολλές περιπτώσεις» τα VPN απέτυχαν να λειτουργήσουν ή οι χάκερ δεν τα χρησιμοποιούσαν κατά την πρόσβαση στο δίκτυο του θύματος, αποκαλύπτοντας την πρόσβασή τους από την Πιονγκγιάνγκ.

Η Mandiant είπε ότι τα αποδεικτικά στοιχεία της υποστηρίζουν ότι αυτό ήταν «ένα ολίσθημα της OPSEC», αναφερόμενος στην επιχειρησιακή ασφάλεια – τον τρόπο με τον οποίο οι χάκερ προσπαθούν να αποτρέψουν τη διαρροή πληροφοριών σχετικά με τη δραστηριότητά τους ως μέρος των εκστρατειών τους για πειρατεία. Οι ερευνητές είπαν ότι αποκάλυψαν επίσης πρόσθετη υποδομή που χρησιμοποιήθηκε σε αυτήν την εισβολή, η οποία χρησιμοποιήθηκε στο παρελθόν από hacks που αποδίδονταν στη Βόρεια Κορέα.

«Οι φορείς απειλών της Βόρειας Κορέας-nexus συνεχίζουν να βελτιώνουν τις επιθετικές τους ικανότητες στον κυβερνοχώρο προκειμένου να κλέψουν κρυπτονομίσματα. Τον περασμένο χρόνο, τους είδαμε να διεξάγουν πολλαπλές επιθέσεις στην αλυσίδα εφοδιασμού, να δηλητηριάζουν νόμιμο λογισμικό και να αναπτύσσουν και να αναπτύσσουν προσαρμοσμένο κακόβουλο λογισμικό σε συστήματα

MacOS

», δήλωσε ο CTO της Mandiant, Charles Carmakal. «Θέλουν τελικά να συμβιβάσουν τις εταιρείες με κρυπτονομίσματα και έχουν βρει δημιουργικούς δρόμους για να φτάσουν εκεί. Αλλά κάνουν επίσης λάθη που μας βοήθησαν να τους αποδώσουμε αρκετές εισβολές».

Οι SentinelOne και CrowdStrike επιβεβαίωσαν επίσης ότι η Βόρεια Κορέα βρισκόταν πίσω από την εισβολή στο JumpCloud.

Η JumpCloud ανέφερε σε μια σύντομη ανάρτηση την περασμένη εβδομάδα ότι λιγότεροι από πέντε εταιρικοί πελάτες της και λιγότερες από 10 συσκευές στοχοποιήθηκαν από την εκστρατεία πειρατείας της Βόρειας Κορέας. Το JumpCloud επανέφερε τα κλειδιά API πελατών του, αφού ανέφερε μια εισβολή τον Ιούνιο. Το JumpCloud έχει περισσότερους από 200.000 εταιρικούς πελάτες, συμπεριλαμβανομένων των GoFundMe, ClassPass και Foursquare.