Хакерска група, подкрепяна от правителството на Северна Корея, проникна в американска компания за ИТ мениджмънт и я използвала като платформа за атака срещу компании за криптовалути, съобщиха в четвъртък фирмата и експерти по киберсигурност.
Хакерите са проникнали в базираната в Луисвил, Колорадо, JumpCloud в края на месец юни, като са използвали достъпа до системите на компанията, за да се насочат към „по-малко от 5“ нейни клиенти, се отбелязва в публикация в блога на компанията.
JumpCloud не посочи засегнатите клиенти, но фирмите за киберсигурност CrowdStrike Holdings, която съдейства на JumpCloud и Mandiant, собственост на Alphabet, която предоставя помощ на един от клиентите на JumpCloud, заявиха, че за замесените хакери е известно, че се занимават с кражба на криптовалута.
Лица запознати със случая потвърдиха, че клиентите на JumpCloud, към които са се насочили хакерите, са били компании за криптовалути.
Хакерската атака демонстрира как севернокорейските кибер шпиони, които някога се задоволяваха да атакуват фирмите за дигитални валути на отделни части, сега се заемат с компании, които могат да им осигурят по-широк достъп до редица лица надолу по веригата – тактика, известна като „атака по веригата на доставки“.
Ето какво сподели Том Хегел, който работи за американската фирма SentinelOne и потвърди информацията на Mandiant и CrowdStrike:
„Според мен Северна Корея сериозно увеличава темпото на своята игра.“
Представителството на Пхенян към ООН в Ню Йорк не отговори на молбата за коментар. Северна Корея и преди е отричала да е организирала кражби на цифрова валута, въпреки многобройните доказателства, включително докладите на ООН, които твърдят обратното.
CrowdStrike определи хакерите като „Labyrinth Chollima“ – една от няколкото групи, за които се твърди, че действат от името на Северна Корея. Mandiant заяви, че хакерите, които са отговорни за това, са работили за Главното разузнавателно бюро (ГБР) на Северна Корея – нейната основна агенция за външно разузнаване.
За първи път хакерската атака срещу JumpCloud, чиито продукти се използват в помощ на мрежовите администратори при управлението на устройства и сървъри, стана публично достояние по-рано този месец. Тогава фирмата изпрати имейл до клиентите си, в който съобщи, че техните идентификационни данни ще бъдат променени „от голяма доза предпазливост във връзка с текущ инцидент“.
ПРОЧЕТЕТЕ ОЩЕ... Cerebras Systems подписва сделка за 100 млн. долара за суперкомпютър с изкуствен интелект с G42 Equinix инвестира 12 млн. във втория си център за данни в България Европа ще получи достъп до изследователския софтуер на TikTok
