Η Radiant: Ληστεία κρυπτογράφησης 50 εκατομμυρίων δολαρίων από βορειοκορεάτες χάκερ

Η Radiant Capital λέει τώρα ότι οι Βορειοκορεάτες απειλές κρύβονται πίσω από τη ληστεία κρυπτονομισμάτων 50 εκατομμυρίων δολαρίων που σημειώθηκε μετά την παραβίαση των συστημάτων της από χάκερ σε μια κυβερνοεπίθεση στις 16 Οκτωβρίου.

Η απόδοση έρχεται μετά τη διερεύνηση του περιστατικού, με τη βοήθεια ειδικών στον κυβερνοχώρο της Mandiant, οι οποίοι λένε ότι η επίθεση διεξήχθη από βορειοκορεατικά κρατικά χάκερ γνωστούς ως Citrine Sleet, γνωστός ως “UNC4736 και “AppleJeus”.

Οι ΗΠΑ προειδοποιήθηκε προηγουμένως ότι οι βορειοκορεάτες απειλές που στοχεύουν εταιρείες κρυπτονομισμάτων, ανταλλακτήρια και εταιρείες τυχερών παιχνιδιών για να δημιουργήσουν και να ξεπλύνουν κεφάλαια για να υποστηρίξουν τις λειτουργίες της χώρας.

Η Radiant είναι μια αποκεντρωμένη πλατφόρμα χρηματοδότησης (DeFi) που επιτρέπει στους χρήστες να καταθέτουν, να δανείζονται και να διαχειρίζονται κρυπτονομίσματα σε πολλαπλά δίκτυα blockchain.

Η πλατφόρμα χρησιμοποιεί την ασφάλεια blockchain Ethereum μέσω του συστήματος κλιμάκωσης Arbitrum Layer 2 και λειτουργεί κάτω από ένα σύστημα που βασίζεται στην κοινότητα που επιτρέπει στους χρήστες να συμμετέχουν στη διακυβέρνηση μέσω θυρίδων RDNT, να υποβάλλουν προτάσεις και να ψηφίζουν ενεργές πρωτοβουλίες.

Στις 16 Οκτωβρίου 2024, Radiant ανακοινώθηκε υπέστη παραβίαση 50 εκατομμυρίων δολαρίων που προκλήθηκε από «σύνθετο κακόβουλο λογισμικό» που στόχευε τρεις αξιόπιστους προγραμματιστές των οποίων οι συσκευές παραβιάστηκαν για την εκτέλεση των μη εξουσιοδοτημένων συναλλαγών.

Οι χάκερ φάνηκε να έχουν εκμεταλλευτεί τη συνηθισμένη διαδικασία πολλαπλών υπογραφών, συλλέγοντας έγκυρες υπογραφές υπό το πρόσχημα των σφαλμάτων συναλλαγών και κλέβοντας κεφάλαια από τις αγορές Arbitrum και Binance Smart Chain (BSC).

Η επίθεση παρέκαμψε την ασφάλεια του πορτοφολιού υλικού και τα πολλαπλά επίπεδα επαλήθευσης και οι συναλλαγές εμφανίστηκαν κανονικές κατά τη διάρκεια των χειροκίνητων ελέγχων και των ελέγχων προσομοίωσης, ενδεικτικά υψηλής πολυπλοκότητας.

Το δάχτυλο έδειξε τη Βόρεια Κορέα

Μετά από εσωτερική έρευνα για την επίθεση, με τη βοήθεια της Mandiant, η Radiant μπορούσε τώρα μοιραστείτε περισσότερες πληροφορίες σχετικά με το κακόβουλο λογισμικό που χρησιμοποιείται και τους δράστες πίσω από αυτό.

Η επίθεση ξεκίνησε στις 11 Σεπτεμβρίου 2024, όταν ένας προγραμματιστής της Radiant έλαβε ένα μήνυμα Telegram που παραπλανούσε έναν πρώην εργολάβο, εξαπατώντας τον να κατεβάσει ένα κακόβουλο αρχείο ZIP.

Το αρχείο περιείχε ένα αρχείο PDF που θα χρησιμοποιηθεί ως δόλωμα και ένα ωφέλιμο φορτίο κακόβουλου λογισμικού macOS με το όνομα «InletDrift», το οποίο δημιούργησε μια κερκόπορτα στη μολυσμένη συσκευή.

Η Radiant λέει ότι η επίθεση ήταν τόσο καλά σχεδιασμένη και εκτελέστηκε άψογα που παρέκαμψε όλα τα μέτρα ασφαλείας που υπήρχαν.

“Αυτή η εξαπάτηση πραγματοποιήθηκε τόσο απρόσκοπτα που ακόμη και με τις τυπικές βέλτιστες πρακτικές της Radiant, όπως η προσομοίωση συναλλαγών στο Tenderly, η επαλήθευση δεδομένων ωφέλιμου φορτίου και η παρακολούθηση των βιομηχανικών προτύπων SOP σε κάθε βήμα, οι εισβολείς μπόρεσαν να παραβιάσουν πολλές συσκευές προγραμματιστών”, εξήγησε η Radiant. .

“Οι διεπαφές διεπαφής εμφάνιζαν καλοήθη δεδομένα συναλλαγών ενώ οι κακόβουλες συναλλαγές υπογράφονταν στο παρασκήνιο. Οι παραδοσιακοί έλεγχοι και οι προσομοιώσεις δεν έδειξαν εμφανείς αποκλίσεις, καθιστώντας την απειλή ουσιαστικά αόρατη κατά τα κανονικά στάδια ελέγχου.”

Η Mandiant αξιολόγησε με μεγάλη σιγουριά ότι η επίθεση διεξήχθη από την UNC4736, την ίδια ομάδα απειλών που εκτέθηκε για εκμετάλλευση μιας ευπάθειας zero-day στο Google Chrome νωρίτερα φέτος.

Δεδομένης της επιτυχούς παράκαμψης των μέτρων ασφαλείας της, η Radiant υπογραμμίζει την ανάγκη για πιο ισχυρές λύσεις σε επίπεδο συσκευής για την ενίσχυση της ασφάλειας των συναλλαγών.

Όσον αφορά τα κλεμμένα κεφάλαια, η πλατφόρμα λέει ότι συνεργάζεται με τις αρχές επιβολής του νόμου των ΗΠΑ και το zeroShadow για την ανάκτηση τυχόν ποσών.