In de afgelopen dagen hebben ten minste drie oprichters van bedrijven in de cryptovaluta-sector pogingen tot fraude gemeld die verband houden met vermoedelijke Noord-Koreaanse hackers. De cybercriminelen zouden hebben geprobeerd gevoelige gegevens te stelen via vervalste Zoom-oproepen, waarbij ze een geavanceerde techniek gebruikten die inspeelt op de psychologie van de slachtoffers.
Summary
De nieuwe methode van Noord-Koreaanse hackers: nep Zoom-oproepen met technische problemen
Nick Bax, lid van de ethische hackersgroep Security Alliance, heeft de nieuwe aanvalsmethode aan de kaak gesteld met een post op X (voorheen Twitter) op 11 maart. Volgens Bax heeft deze strategie al geleid tot de diefstal van miljoenen dollars door de bull en bear oplichters.
De modus operandi voorziet in het contact met het slachtoffer met een voorstel voor een ontmoeting of samenwerking. Zodra de videogesprek is gestart, sturen de kwaadwillenden een bericht waarin ze audio problemen melden, terwijl op het scherm een vooraf opgenomen video van een pseudo-investeerder met een verveelde uitstraling verschijnt. Op dat moment wordt een link naar een nieuw gesprek naar het slachtoffer gestuurd, met de uitleg dat dit nodig is om het technische probleem op te lossen.
Toch is de nieuwe link eigenlijk een malware vermomd, die de gebruiker vraagt om een patch te installeren om de correcte audio/video functionaliteit te herstellen. Bax benadrukt hoe deze techniek gebruikmaakt van de haast en de psychologische druk van het moment:
“Denken jullie dat jullie belangrijke investeerders ontmoeten en proberen jullie het probleem snel op te lossen door de waakzaamheid te laten verslappen. Maar zodra de patch is geïnstalleerd, zijn jullie de klos.”
Oprichters van crypto-bedrijven in het vizier van Noord-Koreaanse hackers
Na de onthulling van Bax hebben verschillende oprichters van bedrijven in de blockchainsector soortgelijke ervaringen gedeeld. Giulio Xiloyannis, medeoprichter van het op blockchain gebaseerde gamingplatform Mon Protocol, meldde dat hij bijna het slachtoffer werd van de oplichting. Volgens de berichten probeerden de hackers hem en de marketingverantwoordelijke te bedriegen met een voorstel voor een partnerschap. Xiloyannis doorzag echter het bedrog toen hij op het laatste moment werd doorgestuurd naar een verdachte link, die beweerde de audio niet te kunnen lezen om hem te verleiden een gevaarlijk bestand te downloaden.
Een ander geval betreft David Zhang, medeoprichter van Stably, een startup die zich bezighoudt met stablecoin ondersteund door Amerikaanse venture capital. Ook hij werd benaderd door de oplichters, die aanvankelijk gebruik maakten van zijn persoonlijke Google Meet-link. Echter, kort daarna vroegen ze hem, onder het voorwendsel van een interne vergadering, om deel te nemen aan een andere nepvideo-oproep.
Zhang, die de oproep op zijn tablet beantwoordde, vond dat de malware van de hackers voornamelijk was ontworpen voor desktopbesturingssystemen, aangezien hij geen duidelijke anomalieën op zijn mobiele apparaat opmerkte.
Een ander slachtoffer van de poging tot aanval is Melbin Thomas, oprichter van het gedecentraliseerde kunstmatige intelligentieplatform Devdock AI, gespecialiseerd in Web3-projecten. Nadat hij per ongeluk de installatie van het geïnfecteerde bestand had gestart, slaagde Thomas erin om het proces op tijd te blokkeren en te voorkomen dat hij het wachtwoord invoerde. Uit voorzorg heeft hij de laptop losgekoppeld en het apparaat teruggezet naar de fabrieksinstellingen, maar er blijft twijfel of de bestanden die naar een externe harde schijf zijn overgezet, gecompromitteerd waren.
De waarschuwing van de Verenigde Staten, Japan en Zuid-Korea over Noord-Koreaanse cyberaanvallen
Deze episodes passen in een bredere context van toenemende cyberdreiging van Noord-Koreaanse hackergroepen. Op 14 januari hebben de Verenigde Staten, Japan en Zuid-Korea een gezamenlijke verklaring afgegeven om te waarschuwen voor het gevaar van cybercriminelen die verbonden zijn met Noord-Korea, met bijzondere aandacht voor de criptovalute sector.
Onder de bekendste hackergroepen bevindt zich Lazarus Group, beschuldigd van betrokkenheid bij enkele van de grootste diefstallen in de geschiedenis van de blockchain. De groep wordt ervan verdacht aanvallen te hebben georkestreerd zoals die tegen Bybit, wat heeft geleid tot de ontvreemding van 1,4 miljard dollar, en die op het Ronin-netwerk, waarbij een diefstal van 600 miljoen dollar plaatsvond.
Na de talrijke aanvallen hebben de hackers van Lazarus de gestolen fondsen verplaatst via mixingplatforms, instrumenten die worden gebruikt om de herkomst van cryptocurrencies te verhullen. Volgens CertiK, een bedrijf dat gespecialiseerd is in blockchainbeveiliging, heeft de groep onlangs 400 Ethereum (ETH), ter waarde van ongeveer 750.000 dollar, gestort in de mixingdienst Tornado Cash.
Conclusies: een groeiend risico voor de crypto-wereld
De gemelde incidenten door oprichters van bedrijven in de blockchainsector bevestigen dat hackers hun technieken steeds verder verfijnen, waarbij ze misbruik maken van het vertrouwen en de haast van de slachtoffers. De toenemende frequentie van deze aanvallen drijft beveiligingsexperts ertoe om het belang van het nemen van preventieve maatregelen te benadrukken, zoals het controleren van elke link voordat je erop klikt en het vermijden van het installeren van bestanden van onbekende bronnen.
Met de intensivering van de activiteiten van groepen zoals Lazarus, moet de wereld van de cryptovaluta een steeds groter risico van cyberaanvallen het hoofd bieden. De samenwerking tussen bedrijven, beveiligingsexperts en overheden zal essentieel zijn om deze bedreigingen tegen te gaan en digitale kapitalen te beschermen tegen steeds geavanceerdere diefstallen.
