Bedreigingsactoren uit de Democratische Volksrepubliek Korea (DVK) richten zich sinds minstens 2017 steeds meer op de cryptocurrency-sector als een belangrijk mechanisme voor het genereren van inkomsten om de aan het land opgelegde sancties te omzeilen.
“Hoewel de bewegingsvrijheid in en uit en binnen het land sterk beperkt is, en de algemene bevolking geïsoleerd is van de rest van de wereld, hebben de heersende elite van het regime en zijn hoogopgeleide kader van computerwetenschappers bevoorrechte toegang tot nieuwe technologieën en informatie. ”, zegt cyberbeveiligingsbedrijf Recorded Future in een rapport gedeeld met The Hacker News.
“De bevoorrechte toegang tot hulpbronnen, technologieën, informatie en soms internationale reizen voor een kleine groep geselecteerde individuen met veelbelovende wiskunde en informatica voorziet hen van de noodzakelijke vaardigheden voor het uitvoeren van cyberaanvallen op de cryptocurrency-industrie.”
De onthulling komt op het moment dat het Amerikaanse ministerie van Financiën sancties heeft opgelegd aan Sinbad, een virtuele valutamixer die door de aan Noord-Korea gelinkte Lazarus Group is gebruikt om onrechtmatig verkregen opbrengsten wit te wassen.
De dreigingsactoren uit het land hebben naar schatting de afgelopen zes jaar voor 3 miljard dollar aan crypto-activa gestolen, waarbij alleen al in 2022 ongeveer 1,7 miljard dollar werd geplunderd. Het merendeel van deze gestolen bezittingen wordt gebruikt om rechtstreeks de programma’s voor massavernietigingswapens (WMD) en ballistische raketten van het heremietkoninkrijk te financieren.
“1,1 miljard dollar van dat totaal werd gestolen via hacks van DeFi-protocollen, waardoor Noord-Korea een van de drijvende krachten werd achter de DeFi-hackingtrend die in 2022 sterker werd”, merkte Chainalysis eerder dit jaar op.
Een rapport dat eerder dit september door het Amerikaanse ministerie van Binnenlandse Veiligheid (DHS) werd gepubliceerd als onderdeel van zijn Analytic Exchange Program (AEP), benadrukte ook de exploitatie van DeFi-protocollen door de Lazarus Group.
“DeFi-uitwisselingsplatforms stellen gebruikers in staat om tussen cryptocurrencies over te stappen zonder dat het platform ooit de tegoeden van de klant in bewaring neemt om de transitie te vergemakkelijken”, aldus het rapport. “Hierdoor kunnen cyberactoren uit de DVK precies bepalen wanneer ze gestolen cryptocurrency van het ene type cryptocurrency naar het andere moeten overzetten, waardoor de toeschrijving moeilijker te bepalen of zelfs te traceren is.”
De cryptocurrency-sector behoort tot de topdoelen van door de staat gesponsorde Noord-Koreaanse cyberdreigingsactoren, zoals herhaaldelijk blijkt uit de talloze campagnes die de afgelopen maanden zijn uitgevoerd.
Hackers uit de DVK staan erom bekend dat ze op bedreven wijze social engineering-trucs uithalen om medewerkers van online cryptocurrency-uitwisselingen te targeten en vervolgens hun slachtoffers te lokken met de belofte van lucratieve banen om malware te verspreiden die externe toegang tot het netwerk van het bedrijf verleent, waardoor ze uiteindelijk alle beschikbare middelen kunnen leegmaken en verplaats ze naar verschillende door de DVK gecontroleerde portefeuilles.
Andere campagnes hebben vergelijkbare phishing-tactieken ingezet om gebruikers ertoe te verleiden getrojaniseerde cryptocurrency-apps te downloaden om hun bezittingen te stelen, evenals watering hole-aanvallen (ook wel strategische webcompromissen genoemd) als een initiële toegangsvector, naast het deelnemen aan airdrop-zwendel en rug pulls.
Een andere opmerkelijke tactiek die de groep hanteert, is het gebruik van gemengde diensten om het financiële spoor en de inspanningen voor cloudattributie te verbergen. Dergelijke diensten worden doorgaans aangeboden op cryptocurrency-uitwisselingsplatforms die geen ‘know your customer’ (KYC)-beleid of anti-witwasregelgeving (AML) hanteren.
“Bij gebrek aan strengere regelgeving, eisen op het gebied van cyberbeveiliging en investeringen in cyberbeveiliging voor cryptocurrency-bedrijven, zijn we van mening dat Noord-Korea zich op de korte termijn vrijwel zeker zal blijven richten op de cryptocurrency-industrie vanwege zijn eerdere succes bij het minen ervan als een bron van extra inkomsten om steun het regime”, besluit Recorded Future.
