W kryptowalucie ekosystemu, monety mają swoją historię, śledzoną w niezmiennych łańcuchach bloków leżących u podstaw ich gospodarki. Jedynym wyjątkiem, w pewnym sensie, jest kryptowaluta, która została świeżo wygenerowana dzięki mocy obliczeniowej jej właściciela. Wygląda więc na to, że północnokoreańscy hakerzy zaczęli stosować nową sztuczkę, aby prać monety, które kradną od ofiar na całym świecie: wpłacać ich brudne, skradzione monety do usług, które pozwalają im wydobywać niewinne nowe.
Firma Mandiant zajmująca się bezpieczeństwem cybernetycznym opublikowała dziś raport na temat sponsorowanej przez państwo północnokoreańskiej grupy hakerskiej, którą obecnie nazywa APT43, czasami znanej pod nazwami Kimsuky i Thallium. Grupa, której działalność sugeruje, że jej członkowie pracują w służbie agencji szpiegowskiej Reconnaissance General Bureau w Korei Północnej, skupiała się przede wszystkim na szpiegostwie, hakowaniu think tanków, naukowców i prywatnego przemysłu od USA po Europę, Koreę Południową i Japonię przynajmniej w 2018 r., głównie za pomocą kampanii phishingowych mających na celu zbieranie danych uwierzytelniających od ofiar i instalowanie złośliwego oprogramowania na ich komputerach.
Podobnie jak wiele północnokoreańskich grup hakerskich, APT43 zajmuje się również cyberprzestępczością nastawioną na zysk, kradnąc każdą kryptowalutę, która może wzbogacić północnokoreański reżim, a nawet po prostu sfinansować własne operacje hakerów. A ponieważ organy regulacyjne na całym świecie zacieśniły kontrolę nad giełdami i usługami pralniczymi, których złodzieje i hakerzy używają do wypłacania skażonych monet, wydaje się, że APT43 wypróbowuje nową metodę wypłaty skradzionych środków, zapobiegając jednocześnie ich przejęciu lub zamrożeniu: Płaci tę skradzioną kryptowalutę do „usług mieszania”, które pozwalają każdemu wynajmować czas na komputerach używanych do wydobywania kryptowaluty, zbierając nowo wydobyte monety, które nie mają widocznych powiązań z działalnością przestępczą.
Ta sztuczka wydobywcza pozwala APT43 wykorzystać fakt, że kryptowaluta jest stosunkowo łatwa do kradzieży, jednocześnie unikając dowodów kryminalistycznych, które pozostawia na łańcuchach bloków, co może utrudnić złodziejom wypłacenie gotówki. „To przerywa łańcuch” — mówi Joe Dobson, analityk zagrożeń firmy Mandiant. „To jest jak napad na bank kradnący srebro ze skarbca bankowego, a następnie udający się do poszukiwacza złota i płacący górnikowi skradzionym srebrem. Wszyscy szukają srebra, podczas gdy rabuś bankowy chodzi ze świeżym, świeżo wydobytym złotem.
Mandiant mówi, że po raz pierwszy zaczął dostrzegać oznaki techniki prania opartej na wydobyciu APT43 w sierpniu 2022 r. Od tego czasu do usług haszujących – usług takich jak NiceHash i Hashing24, które pozwalają każdemu kupować i sprzedawać moc obliczeniową – wpłynęły kryptowaluty o wartości dziesiątek tysięcy dolarów. do obliczania ciągów matematycznych zwanych „hashami”, które są niezbędne do wydobywania większości kryptowalut — na podstawie tego, co uważa za kryptoportfele APT43. Mandiant mówi również, że podobne kwoty napływały do portfeli APT43 z „pul” wydobywczych, usług, które pozwalają górnikom wnosić swoje zasoby haszujące do grupy, która wypłaca udział w każdej kryptowalucie, którą grupa wspólnie wydobywa. (Mandiant odmówił podania nazw usług haszujących lub pul wydobywczych, w których uczestniczył APT43.)
Teoretycznie wypłaty z tych pul powinny być czyste, bez powiązań z hakerami APT43 — w końcu wydaje się, że taki jest cel prania pieniędzy przez grupę. Jednak w niektórych przypadkach niechlujstwa operacyjnego Mandiant twierdzi, że okazało się, że fundusze były mimo wszystko mieszane z kryptowalutami w portfelach, które wcześniej zidentyfikował na podstawie wieloletniego śledzenia kampanii hakerskich APT43.
