Drift Protocol (DRIFT) avaldas 5. aprillil üksikasjaliku juhtumiuuenduse, milles teatati, et 1. aprillil toimunud 285 miljoni dollari suurune rünnak oli kuuskuine luureoperatsioon, mille taga on Põhja-Korea riigipoolsete tegijatega seotud aktöörid.
Teatis kirjeldab sotsiaalset inseneritaset, mis ulatub kaugemale tavalistest phishing- või rekruutimisspetside kui kaugemale – see hõlmas isiklikke kohtumisi, tegelikku kapitali kasutamist ja kuude pikkust usalduse ehitamist.
Pseudokaubandusfirma, kes mängis pika mängu
Drifti andmetel lähenes kvantitatiivseid kaubandusfirmasid imiteeriv grupp esmakordselt kaaslahkuslikkudele osalejatele suurtes krüptokonverentsides sügisel 2025.
Järgnevate kuude jooksul ilmusid need isikud mitmes riigis korraldatud mitmetele üritustele, pidasid töökohtumisi ja jätkasid Telegramis pidevalt vestlust vaultide integreerimise teemal.
Jälgige meid X-is, et saada uusimaid uudiseid hetkel, kui need juhtuvad
Detsembrist 2025 kuni jaanuarini 2026 registreerus grupp Drifti ekosüsteemi vaulti, sisestas rohkem kui 1 miljonit dollarit kapitalit ja osales detailsetes toote-arutlustes.
Märtsis olid Drifti kaaslahkuslikud isikud neid mitmel korral isiklikult kohtunud.
Isegi veebikindlustuse eksperdid leiavad seda murespanevaks: uurija Tay jagas, et ta ootas alguses tavalist rekruutimisspetsi, kuid operatsiooni sügavus tundus talle palju hämmastavam.
Seadmete kompromitteerimise viisid
Drift tuvastas kolm tõenäolist rünnakute vektorit:
- Üks kaaslahkuslik kloonis koodihaldussüsteemi, mille grupp jagas vaulti frontendi jaoks.
- Teine allalaadis TestFlighti rakenduse, mida esitati portfellitoote versioonina.
- Koodihaldussüsteemi vektori puhul viitas Drift teadaolevale VSCode’i ja Cursori turvaaugule, mille turvauurijad olid alates 2025. aasta lõpust üles tähelepanu juhtinud.
Selle vea tõttu käivitus suvaline kood vaikimisi hetkel, kui fail või kaust avati redaktoris, ilma et oleks vaja mingit kasutajatoimet.
Pärast 1. aprillil toimunud varade ära võtmist kustutasid ründajad kõik Telegrami vestlused ja kahjulikud tarkvarad. Drift on nüüdseks külmutanud protokolli järelejäänud funktsioonid ja eemaldanud kompromitteeritud portfellid multisig’ist.
SEALS 911 tiim hindas keskmise–kõrge usaldusväärsusega, et samad ohtlikud tegijad tegutsesid oktoobris 2024 Radiant Capitali rünnakus, mille Mandiant omistas UNC4736-le.
Ühenduse toetavad ka ahela pealsete rahavoolude ja kahe kampaania operatsiooniliste ülekattete andmed.
Tööstus nõuab turvapõhimõtete üleüleseadmist
Oluline Solana arendaja Armani Ferrante kutsus kõiki krüptoteameid pausile kasvustrateegiate rakendamisel ning nende kogu turvakaitsesüsteemi auditi tegemisele.
Drift märkis, et isiklikult ilmunud isikud ei olnud Põhja-Korea kodanikud. Sellise taseme DPRK-ohtlikud tegijad kasutavad isiklike kohtumiste korral tuntud viisil kolmandaid pooleid.
Mandiant, keda Drift on kaasatud seadmete forensiliste uuringute tegemisele, ei ole rünnaku päritolu veel ametlikult kindlaks teinud.
Teatis on hoiatus kogu laiemale ekosüsteemile. Drift soovis teadatavaks teha, et meeskonnad peaksid auditeerima ligipääsukontrolle, käsitlema iga multisigi puudutavat seadet potentsiaalse sihtmärgina ning võtma ühendust SEAL 911-ga, kui nad kahtlevad sarnase sihtmärgistamises.
Postitus „Drift Protocoli 285 miljoni dollari suurune vararünnak algas käepigutusest ja kuue kuu pikkusest usaldusest“ ilmus esimesena BeInCrypto veebisaidil.
Allikas: https://beincrypto.com/drift-north-korea-spy-operation-hack/
