Північнокорейські хакери використовують блокчейн у новій кампанії «EtherHiding»

Нова кіберзагроза виникає з Північної Кореї, оскільки її хакери, підтримувані державою, експериментують із впровадженням шкідливого коду безпосередньо в блокчейн-мережі.

Група Google Threat Intelligence Group (GTIG) повідомила 17 жовтня, що ця техніка, названа EtherHiding, знаменує нову еволюцію того, як хакери приховують, розповсюджують і контролюють шкідливе програмне забезпечення у децентралізованих системах.

Що таке EtherHiding?

GTIG пояснила, що EtherHiding дозволяє зловмисникам використовувати смарт-контракти та публічні блокчейни, такі як Ethereum і BNB Smart Chain, для зберігання шкідливих навантажень.

Після завантаження коду в ці децентралізовані реєстри, видалити або заблокувати його майже неможливо через їх незмінний характер.

“Хоча смарт-контракти пропонують інноваційні способи створення децентралізованих застосунків, їх незмінний характер використовується в EtherHiding для розміщення та доставки шкідливого коду таким чином, що його неможливо легко заблокувати,” — написала GTIG.

На практиці хакери компрометують легітимні сайти на WordPress, часто використовуючи невиправлені вразливості або викрадені облікові дані.

Після отримання доступу вони вставляють кілька рядків JavaScript — так званий “loader” — у код сайту. Коли відвідувач відкриває заражену сторінку, loader тихо підключається до блокчейну та отримує шкідливе ПЗ із віддаленого сервера.

EtherHiding на BNB Chain та Ethereum. Джерело: Google Threat Intelligence Group

GTIG зазначила, що ця атака часто не залишає видимого сліду транзакцій і майже не потребує комісій, оскільки відбувається поза ланцюгом. Це, по суті, дозволяє зловмисникам діяти непомітно.

Варто зазначити, що GTIG відстежила перший випадок EtherHiding у вересні 2023 року, коли він з’явився в кампанії під назвою CLEARFAKE, яка обманювала користувачів фальшивими сповіщеннями про оновлення браузера.

Як запобігти атаці

Дослідники з кібербезпеки кажуть, що ця тактика сигналізує про зміну цифрової стратегії Північної Кореї — від простого викрадення криптовалюти до використання самого блокчейну як прихованої зброї.

“EtherHiding означає перехід до хостингу нового покоління, де вбудовані функції блокчейн-технологій використовуються для зловмисних цілей. Ця техніка підкреслює постійну еволюцію кіберзагроз, оскільки зловмисники пристосовуються і використовують нові технології на свою користь,” — заявила GTIG.

Джон Скотт-Рейлтон, старший дослідник Citizen Lab, описав EtherHiding як “експеримент на ранній стадії”. Він попередив, що поєднання цієї техніки з автоматизацією на основі AI може зробити майбутні атаки набагато складнішими для виявлення.

“Я очікую, що зловмисники також експериментуватимуть із прямим завантаженням zero click експлойтів у блокчейни, націлених на системи та застосунки, які обробляють блокчейни… особливо якщо вони іноді розміщені на тих самих системах і мережах, що обробляють транзакції / мають гаманці,” — додав він.

Цей новий вектор атаки може мати серйозні наслідки для криптоіндустрії, враховуючи, що північнокорейські зловмисники є надзвичайно продуктивними.

Дані TRM Labs показують, що пов’язані з Північною Кореєю групи вже викрали понад $1.5 billions у криптоактивах лише цього року. Слідчі вважають, що ці кошти допомагають фінансувати військові програми Пхеньяна та зусилля з уникнення міжнародних санкцій.

З огляду на це, GTIG порадила користувачам криптовалют зменшити ризики, блокуючи підозрілі завантаження та обмежуючи несанкціоновані веб-скрипти. Група також закликала дослідників безпеки ідентифікувати та маркувати шкідливий код, вбудований у блокчейн-мережі.