Twee bedrijven, officieel opgericht in de Verenigde Staten, blijken onderdeel van een ingenieus plan van Noord-Koreaanse hackers om crypto developers aan te vallen.
Het gaat om Blocknovas LLC en Softglide LLC, opgezet in respectievelijk New Mexico en New York. Deze bedrijven, die werden geregistreerd met valse identiteiten, dienden als dekmantel om malware te verspreiden via nep vacatures.
Malware vermomd als baan
Volgens Reuters, dat documenten in handen kreeg en sprak met de cybersecurity bedrijf Silent Push, gaat het om een zeldzaam geval waarin Noord-Koreaanse hackers gebruikmaken van legaal geregistreerde Amerikaanse ondernemingen. Deze zijn bedoeld om nietsvermoedende sollicitanten te misleiden met valse vacatures. Bij deze aanvallen wordt gebruikgemaakt van eerder bekende malware die toegang geeft tot wachtwoorden en crypto wallets van ontwikkelaars.
Het FBI heeft inmiddels het domein van Blocknovas in beslag genomen en bevestigt dat het domein werd gebruikt om mensen om de tuin te leiden en schadelijke software te verspreiden. Volgens Silent Push zijn er inmiddels meerdere slachtoffers van deze campagne, waarbij Blocknovas als de meest actieve partij wordt aangemerkt.
Structuur en financiering vanuit Pyongyang
De operaties zouden gelinkt zijn aan de Lazarus Group, een bekende Noord-Koreaanse hackersgroep. Deze groep staat al langer bekend om haar betrokkenheid bij digitale aanvallen gericht op het binnenhalen van buitenlandse valuta. De inkomsten, waaronder uit cryptocurrency, worden volgens de Verenigde Staten ingezet voor de financiering van het Noord-Koreaanse nucleaire programma.
De registratiegegevens van Blocknovas wijzen op een leeg perceel in South Carolina, terwijl Softglide werd aangemeld vanuit een klein belastingkantoor in Buffalo, New York. Ondanks dat de bedrijven in overeenstemming met de lokale wetgeving zijn geregistreerd, vormen ze een directe schending van de internationale sancties tegen Noord-Korea. OFAC (onderdeel van het Amerikaanse ministerie van Financiën) en de Verenigde Naties verbieden commerciële activiteiten met Noord-Koreaanse betrokkenheid.
Toenemende dreiging voor crypto-industrie
Deze gebeurtenissen tonen aan hoe geavanceerd en meedogenloos Noord-Koreaanse cyberaanvallen kunnen zijn. Experts noemen het één van de meest serieuze dreigingen voor de Amerikaanse digitale veiligheid. Door zich voor te doen als recruiters, konden de aanvallers zich ongezien toegang verschaffen tot de systemen van hun slachtoffers, iets wat voor de cryptowereld grote risico’s met zich meebrengt.
De gebruikte malware maakt het mogelijk om gegevens te stelen, netwerken te infiltreren en andere kwaadaardige software te laden. Deze aanpak is geen toeval, maar onderdeel van een breder patroon waarbij Noord-Korea via IT arbeid en hacking probeert buitenlandse inkomsten te genereren.