Nordkoreanske hackinggrupper og kryptovaluta
Nordkoreanske hackinggrupper utnytter fristelsen av frilans IT-arbeid for å få tilgang til sky-systemer og stjele kryptovalutaer verdt millioner av dollar, ifølge ny forskning fra Google Cloud og sikkerhetsfirmaet Wiz. Google Clouds rapport «H2 2025 Cloud Threat Horizons» avslører at Google Threat Intelligence Group «aktivt sporer» UNC4899, en nordkoreansk hackerenhet som har lykkes med å hacke to selskaper etter å ha kontaktet ansatte via sosiale medier.
Metoder for hacking
I begge tilfeller ga UNC4899 de ansatte oppgaver som førte til at de installerte skadelig programvare på arbeidsstasjonene sine, noe som gjorde det mulig for hackinggruppen å etablere forbindelser mellom sine kommandosentre og de målrettede selskapenes skybaserte systemer. Som et resultat var UNC4899 i stand til å utforske ofrenes sky-miljøer, skaffe seg legitimasjonsmateriale og til slutt identifisere verter ansvarlige for behandling av kryptotransaksjoner.
Mens hver enkelt hendelse målrettet forskjellige (unnavnede) selskaper og ulike sky-tjenester (Google Cloud og AWS), resulterte begge i tyveri av flere millioner verdt av krypto.
Falske jobbtilbud og sofistikering
Bruken av falske jobbtilbud av nordkoreanske hackere er nå ganske vanlig og utbredt, noe som reflekterer en betydelig grad av sofistikering, sa Jamie Collier, leder for trusselintelligensrådgivning for Europa i Google Threat Intelligence Group, til Decrypt. «De utgir seg ofte for å være rekrutterere, journalister, fagpersoner eller universitetsprofessorer når de kontakter mål,» sa han, og la til at de ofte kommuniserer frem og tilbake flere ganger for å bygge en relasjon med målene.
Collier forklarer at nordkoreanske trusselaktører var blant de første til raskt å ta i bruk nye teknologier som AI, som de bruker til å produsere mer overbevisende e-poster for å bygge relasjoner og til å skrive sine ondsinnede skript.
Historikk og utvikling av trusselaktiviteter
Også sikkerhetsfirmaet Wiz rapporterer om UNC4899s utnyttelser, og bemerker at gruppen også refereres til med navnene TraderTraitor, Jade Sleet og Slow Pisces. TraderTraitor representerer en viss type trusselaktivitet snarere enn en spesifikk gruppe, med de nordkoreansk støttede enhetene Lazarus Group, APT38, BlueNoroff og Stardust Chollima som alle står bak typiske TraderTraitor-utnyttelser, ifølge Wiz.
I sin analyse av UNC4899/TraderTraitor bemerker Wiz at kampanjene begynte tilbake i 2020, og at de ansvarlige hackinggruppene fra starten av brukte jobbtilbud for å lokke ansatte til å laste ned ondsinnede krypto-apper bygget på JavaScript og Node.js ved hjelp av Electron-rammeverket. Gruppens kampanje fra 2020 til 2022 «klarte å bryte seg inn i flere organisasjoner,» ifølge Wiz, inkludert Lazarus Groups $620 millioner brudd på Axie Infinitys Ronin Network.
Fremtidige trusler og investeringer
TraderTraitor-trusselaktiviteten utviklet seg deretter i 2023 til å inkludere bruk av ondsinnet åpen kildekode, mens den i 2024 doblet seg på falske jobbtilbud, primært rettet mot børser. Mest bemerkelsesverdig var TraderTraitor-gruppene ansvarlige for hackingen av DMM Bitcoin i Japan på $305 millioner, samt hackingen av Bybit på $1,5 milliarder sent i 2024, som børsen avslørte i februar i år.
Som med utnyttelsene fremhevet av Google, målrettet disse hackene sky-systemer i varierende grad, og ifølge Wiz representerer slike systemer en betydelig sårbarhet for krypto. «Vi mener at TraderTraitor har fokusert på skyrelaterte utnyttelser og teknikker fordi det er der dataene, og dermed pengene, er,» sa Benjamin Read, direktør for strategisk trusselintelligens i Wiz, til Decrypt.
Read forklarte at målretting av skyteknologier gjør det mulig for hackinggrupper å påvirke et bredt spekter av mål, noe som øker potensialet for å tjene mer penger. Disse gruppene driver stor virksomhet, med estimater på $1,6 milliarder i kryptovaluta stjålet så langt i 2025, sa han, og la til at TraderTraitor og relaterte grupper har arbeidsstyrker «sannsynligvis i tusenvis av mennesker,» som jobber i mange og noen ganger overlappende grupper.
Konklusjon
Til slutt har slik investering gjort det mulig for Nord-Korea å bli en leder innen kryptohacking, med en rapport fra TRM Labs i februar som konkluderte med at landet stod for 35% av alle stjålne midler i fjor. Eksperter sier at alle tilgjengelige tegn tyder på at landet sannsynligvis vil forbli en fast del av kryptorelatert hacking i overskuelig fremtid, spesielt gitt evnen til operatørene til å utvikle nye teknikker.
«Nordkoreanske trusselaktører er en dynamisk og smidig kraft som kontinuerlig tilpasser seg for å møte regimets strategiske og økonomiske mål,» sa Collier fra Google. Han gjentok at nordkoreanske hackere i økende grad bruker AI, og forklarte at slik bruk muliggjør «kraftmultiplikasjon,» som igjen har gjort det mulig for hackerne å skalere opp sine utnyttelser. «Vi ser ingen tegn til at de bremser ned og forventer at denne ekspansjonen vil fortsette,» sa han.
