Американские спецслужбы рассказали, как северокорейские хакеры крадут биткоины

Федеральное бюро расследований, Агентство кибербезопасности и защиты инфраструктуры и Министерство юстиции США представили совместный доклад с описанием используемых северокорейскими хакерами инструментов для кражи криптовалют. В частности, речь идет о вирусе AppleJeus, распространяемом под видом полноценного ПО для торговли криптовалютами.

AppleJeus впервые был замечен в сети в 2018 году и с тех пор обрел несколько названий, включая Celas Trade Pro, JMT Trading, Union Crypto, Kupay Wallet, CoinGoTrade, Dorusio и Ants2Whale. Направленную на кражу криптовалют активность северокорейских хакеров в США обозначили как «Скрытая кобра» (англ. — HIDDEN COBRA). Спецслужбы отмечают, что хакерская группировка Lazarus Group ответственна за кражу и отмывание сотен миллионов долларов в криптовалютах с января прошлого года.

В августе 2018 года было обнаружено зараженное ПО для трейдинга под названием Celas Trade Pro, которое на деле оказалось модифицированной версией сервиса Q.T. Bitcoin Trader, использовавшегося еще в 2013 году для торговли биткоином на BTC-e и Mt.Gox.


Q.T. Bitcoin Trader

Своими жертвами хакеры выбирают индивидуальных пользователей криптовалют и компании, такие как биржи и поставщики финансовых услуг. Кроме того, известно, что при поиске жертв хакеры ориентируются на несколько отраслей, включая энергетическую, технологическую, телекоммуникационную, а также государственные службы. Всего были выявлены атаки в 32 странах, включая Россию и СНГ, на всех континентах за исключением Африки. По версии властей, со временем хакеры усовершенствовали методы распространения AppleJeus.


Страны, жители которых пострадали от AppleJeus с 2020 года

«Изначально участники HIDDEN COBRA использовали веб-сайты, выглядевшие как полноправные платформы для торговли криптовалютами, чтобы заражать своих жертв при помощи AppleJeus. Тем не менее, теперь они также используют векторы первоначального заражения, такие как фишинг, взаимодействие в социальных сетях и методы социальной инженерии, чтобы заставить своих жертв скачать зловред», – говорится в докладе.

Например, известен случай фишинговой рассылки от имени компании Celas LLC. В письме содержалась ссылка на сайт Celas для скачивания зараженного приложения для торговли криптовалютами. Отмечается, что сайт имел действительные сертификаты безопасности в соответствии с моделью Domain Control Validated, не позволяющей достоверно установить владельца сайта или существование компании.

Более новая версия такого ПО носила название JMT Trading и распространялась от лица одноименной компании. Скачать программу в данном случае предлагалось из репозитория на GitHub. Еще одна программа – UnionCryptoTrader – очень напоминает приложение для арбитража криптовалют Blackbird Bitcoin Arbitrage. Kupay Wallet, в свою очередь, поставлялся как кошелек и во многом был схож с opensource-платформой Copay американской компании BitPay.

Любопытно, что при попытке установки вредоносных программ Kupay Wallet, CoinGoTrade и Dorusio на одну систему они начинают конфликтовать между собой. Например, если устанавливать CoinGoTrade или Dorusio после Kupay Wallet появляется предупреждение о том, что более свежая версия ПО уже установлена.

Последним в цепочке стал Ants2Whale, который появился в конце 2020 года. Сайт, через который ведется распространение программы, содержит многочисленные грамматические и орфографические ошибки, свидетельствуя о том, что его создатели не являются носителями английского языка. В информации на сайте говорится, что при установке Ants2Whale запросит подтверждение при помощи прав администратора, так как представляет собой «премиальный пакет».

Пользователям, компьютеры которых могли быть заражены AppleJeus, в ФБР предлагают создать новые ключи и вывести криптовалюту из скомпрометированных кошельков, проверить систему на наличие вирусов и связаться с ответственными органами. Для предупреждения проблем авторы рекомендуют всегда проверять источник происхождения ПО, использовать несколько кошельков, включая холодные, а также отдельное устройство для работы с криптовалютами.