Nhóm tin tặc Triều Tiên Lazarus đã đứng sau một số cuộc tấn công crypto lớn nhất, trong đó có DeBridge Finance.
Alex Smirnov, đồng sáng lập và trưởng dự án tại DeBridge Finance, đã lên Twitter hôm thứ Sáu để báo cáo rằng công ty của mình là mục tiêu của một cuộc tấn công mạng do nhóm Lazarus khét tiếng của Triều Tiên thực hiện.
DeBridge cung cấp giao thức thanh khoản và khả năng tương tác chuỗi chéo để chuyển dữ liệu và tài sản giữa các blockchain.
Cuộc tấn công xảy ra thông qua một email giả mạo do một số thành viên trong nhóm DeBridge nhận được có chứa tệp PDF “Điều chỉnh mức lương mới”, dường như đến từ Smirnov.
Giả mạo email là một hình thức tấn công trong đó email độc hại làm giả một nguồn đáng tin cậy, trong trường hợp này là từ người đồng sáng lập của công ty.
“Chúng tôi có các chính sách bảo mật nội bộ nghiêm ngặt và liên tục làm việc để cải thiện chúng cũng như cảnh báo nhóm về các vectơ tấn công có thể xảy ra”, Smirnov viết.
Mặc dù vậy, Smirnov giải thích, một người đã tải xuống và mở tệp, điều này đã kích hoạt một cuộc tấn công vào hệ thống nội bộ của công ty. Nhờ đó, một cuộc điều tra về nguồn gốc của cuộc tấn công, cách các tin tặc dự định cuộc tấn công hoạt động và bất kỳ hậu quả tiềm ẩn nào đã diễn ra.
“Phân tích nhanh cho thấy rằng mã nhận được thu thập RẤT NHIỀU thông tin về PC và xuất nó tới [trung tâm chỉ huy của kẻ tấn công], bao gồm tên người dùng, thông tin hệ điều hành, thông tin CPU, bộ điều hợp mạng và các quy trình đang chạy”, Smirnov nói.
Smirnov đã so sánh những gì DeBridge nhìn thấy với một bài đăng trên Twitter của một người dùng khác cho thấy những đặc điểm tương tự và chỉ ra nhóm hacker Triều Tiên.
Smirnov cảnh báo những người theo dõi của mình đừng bao giờ mở tệp đính kèm email mà không xác minh địa chỉ email đầy đủ của người gửi và có một giao thức nội bộ về cách nhóm của họ chia sẻ tệp đính kèm.
Nhóm Lazarus bị cáo buộc đứng sau một số vụ hack crypto nổi tiếng, bao gồm vụ hack sidechain Axie Infinity Ronin Ethereum trị giá 622 triệu USD hồi tháng 3 và vụ hack Harmony Horizon Bridge vào tháng 6.
David Schwed, giám đốc điều hành của công ty bảo mật blockchain Halborn, lưu ý: “Các kiểu tấn công này khá phổ biến. Chúng dựa vào bản chất tò mò của mọi người bằng cách đặt tên cho các tệp là thứ gì đó thu hút sự quan tâm của họ, chẳng hạn như thông tin về tiền lương”.
Schwed nói thêm: “Chúng ta đang chứng kiến ngày càng nhiều các kiểu tấn công này nhắm mục tiêu cụ thể đến các công ty blockchain với số tiền đặt cược cao do tính bất biến của các giao dịch blockchain”.
Nguồn: Decrypt