Криптоактиви замилювання очей оновлені! Північна Корея Lazarus використовує AI для глибокого підроблення Zoom, викрадаючи сотні мільйонів доларів

Північнокорейські хакери шифрування вдосконалюють поширений шахрайство з криптоактивами. Згідно з доповіддю цифрової безпеки компанії Касперського, найбільш жахлива злочинна організація Північної Кореї Lazarus Group, її підрозділ BlueNoroff APT, використовує дві нові діяльності під назвою GhostCall та GhostHire, щоб підвищити свою надійність, використовуючи штучний інтелект та повторювані відеодзвінки.

Північна Корея Lazarus Group з шукача роботи перетворилася на мисливця

（джерело：X）

Північнокорейські шахраї в області шифрування стали глобальною загрозою, але їхні стратегії проникнення зазнали значних змін. Ці злочинці раніше шукали роботу в компаніях Web3, намагаючись стати внутрішніми співробітниками, щоб вкрасти активи або впровадити бекдори. Проте нещодавно вони почали використовувати фальшиві рекрутингові повідомлення для розповсюдження шкідливого програмного забезпечення, перетворившись з шукачів на мисливців. Тепер їхні плани знову розширюються, а методи стають ще важче впізнаваними.

Група Лазаря є хакерською організацією, що підтримується урядом Північної Кореї, і вважається найактивнішим і найуспішнішим крадієм криптоактивів у світі. За оцінками Організації Об'єднаних Націй та компанії з аналізу блокчейну Chainalysis, ця організація з 2017 року вкрала понад 3 мільярди доларів США у криптоактивів. Ці кошти використовуються для фінансування ядерної програми та програми ракет Північної Кореї, що робить її загрозою міжнародній безпеці.

В минулому методи Lazarus були відносно грубими. Вони масово надсилали фішингові електронні листи з зараженими файлами, сподіваючись, що хтось натисне. Або вони видавали себе за шукачів роботи на професійних соціальних платформах, таких як LinkedIn, намагаючись проникнути всередину криптоактивів компанії. Ці методи, хоча іноді й були успішними, але їхня успішність не була високою, оскільки багато компаній вже створили відповідні механізми захисту.

Проте, BlueNoroff APT як спеціалізоване відгалуження групи Lazarus, що націлене на фінансові установи та криптоактиви, демонструє вищу професійність і адаптивність. Дослідники Kaspersky виявили, що GhostCall і GhostHire мають спільну управлінську інфраструктуру, що свідчить про добре скоординований багатовимірний план атаки.

GhostCall та GhostHire два в одному шифруванням монета замилювання очей

GhostCall та GhostHire представляють нову стадію шахрайства з криптоактивами, обидва націлені на різні цілі, але використовують схожі техніки соціальної інженерії.

GhostCall: замилювання очей для інвесторів у Web3

У GhostCall ці північнокорейські хакери криптоактивів націлюються на високопрофільних учасників Web3, маскуючись під потенційних інвесторів. Вони вивчають фон цілей, стан компанії та нещодавні події, після чого надсилають високоперсоналізовані інвестиційні пропозиції або запрошення до співпраці. Ці повідомлення зазвичай стверджують, що представляють відомі венчурні фонди або сімейні офіси та вказують на зацікавленість в інвестиціях на кілька мільйонів доларів.

Як тільки ціль відповідає, хакери організують відеоконференцію, зазвичай стверджуючи, що використовують Zoom або Microsoft Teams. Однак вони надсилають посилання на “оновлену версію” або “безпечну версію” програмного забезпечення для конференцій, стверджуючи, що це для захисту комерційних таємниць або для відповідності вимогам. Це програмне забезпечення насправді є клонованою версією, вбудованою з шкідливим кодом.

GhostHire: пастка для найму блокчейн-інженерів

З іншого боку, GhostHire приваблює інженерів блокчейну привабливими робочими можливостями. Хакери вдають із себе рекрутерів відомих криптоактивів компаній або стартапів, пропонуючи зарплату та акційні стимули, що значно перевищують ринкові ставки. Щоб “перевірити” навички кандидатів, вони вимагають виконання програмного виклику або технічного завдання.

Ця задача зазвичай передбачає завантаження репозиторію GitHub або спеціалізованого середовища розробки. Однак ці файли містять шкідливе програмне забезпечення, яке, якщо його виконати, може інфікувати систему. Kaspersky зазначає, що ці хакери вже почали звертати увагу на операційні системи, які віддають перевагу розробники криптоактивів, особливо macOS та Linux, і цілеспрямовано розробляють варіанти шкідливого програмного забезпечення.

Ці два види криптоактивів мають спільний недолік: жертви повинні насправді взаємодіяти з підозрілим програмним забезпеченням. Це шкодить успішності попередніх шахрайств, оскільки все більше професіоналів з високою обізнаністю в питаннях безпеки відмовляються завантажувати програмне забезпечення з невідомим походженням. Проте ці північнокорейські хакери знайшли новий спосіб повторно використати втрачені можливості, що є ключовим моментом для поточного посилення загрози.

AI технології глибокого підроблення перетворюють невдачу на нову зброю

Посилена співпраця між GhostCall та GhostHire дозволяє хакерам вдосконалювати свої техніки соціальної інженерії, що є найнебезпечнішим еволюційним етапом поточних криптоактивів замилювання очей. Окрім контенту, згенерованого ШІ, вони також можуть використовувати зламані облікові записи реальних підприємців або реальні відеозвінки, що робить їхні шахрайства більш переконливими.

Конкретний спосіб роботи такий: коли високопосадовець у світі криптоактивів розриває зв'язки з підозрілими рекрутерами або інвесторами, хакери не просто здаються. Навпаки, вони записують весь процес взаємодії, включаючи будь-які зображення з відеодзвінка, голосові фрагменти та фонове середовище. Навіть якщо ця схема не вдається, ці матеріали стають зброєю для атаки на наступну жертву.

Використовуючи штучний інтелект, хакери можуть синтезувати нові “розмови”, вражаюче реалістично імітуючи людський тон, жести та навколишнє середовище. Наприклад:

Глибоке підроблення відео: Хакери можуть використовувати інструменти штучного інтелекту, щоб перетворити 30-секундне справжнє відео, отримане під час невдалого замилювання очей, на 5-хвилинний “інвестиційний семінар” або “технічне інтерв'ю”, в якому вирази обличчя жертви та рухи губ ідеально синхронізовані з підробленим голосом.

Клонування голосу: навіть з кількома секундами зразка голосу сучасні інструменти ШІ можуть генерувати клон голосу, який майже неможливо відрізнити від справжнього. Хакери можуть змусити «жертву» «рекомендувати» певну інвестиційну можливість або процес набору в новій схемі замилювання очей.

Накладення особистостей: Ще складніше, що хакери комбінують матеріали з кількох невдалих замилювань очей, створюючи повноцінну фальшиву екосистему. Наприклад, вони можуть змусити «інвестора А» згадати «засновника Б» у відео, і обидва є жертвами попередніх замилювань очей.

Наскільки це небезпечно, можна лише уявити. Один із засновників проєкту криптоактивів може уникнути атаки завдяки високій пильності, але через кілька тижнів виявити, що його імідж використали для обману інших засновників або інвесторів. Ще гірше, що ці глибокі підробки можуть поширюватися в соціальних мережах або професійних мережах, шкодячи репутації жертв.

Фактичний ланцюг атак та рекомендації щодо захисту

Незалежно від того, хто є метою, реальні атаки на криптоактиви зазвичай дотримуються подібних моделей:

Етап перший: Дослідження та контакт

Зловмисники досліджують цілі на LinkedIn, Twitter та форумах криптоактивів, збираючи особисту та професійну інформацію, а потім надсилають високо персоналізовані початкові повідомлення.

Етап другий: встановлення довіри

Через багаторазове спілкування та відеодзвінки (можливо, з використанням технології глибокого підроблення) встановити довірчі відносини, щоб цільова особа розслабила свою настороженість.

Етап три: Спонукання до завантаження

З обґрунтованих причин (тестування, відповідність, конфіденційність) вимагати завантаження певного програмного забезпечення або файлів.

Етап чотири: Системне проникнення

Якщо шкідливе програмне забезпечення виконується, зловмисник отримує доступ до системи, краде приватні ключі, сид-фрази або безпосередньо переводить активи.

Етап п’ять: Збір матеріалів

Навіть якщо атака не вдалася, хакери збиратимуть всі відео, голосові та інформаційні дані, отримані під час взаємодії, для майбутніх атак.

Ключові заходи захисту

Сувора перевірка особи: підтверджуйте особу співрозмовника через кілька незалежних каналів, не покладаючись лише на один спосіб зв'язку.

Відмовитися від нестандартного програмного забезпечення: дотримуватися використання офіційно завантажених інструментів, таких як Zoom, Teams тощо, відмовитися від будь-яких «спеціальних версій».

Ізольоване тестове середовище: Якщо потрібно протестувати код або документи, використовуйте віртуальну машину або пісочницю, ніколи не виконуйте на основній системі.

Остерігайтеся високого тиску: будь-яка ситуація, що створює відчуття терміновості, вимагає швидкого прийняття рішень або стверджує, що це «єдиний шанс», повинна викликати високий рівень підозри.

Апараті гаманці та мультипідпис: переконайтеся, що приватні ключі зберігаються в апараті гаманці, важливі активи захищені мультипідписом.

Навіть якщо ці замилювання очей з криптоактивами зазнають невдачі, потенційні збитки все ще величезні. Будь-хто, хто стикається з аномальними або стресовими ситуаціями, повинен бути обережним, ніколи не завантажувати незнайоме програмне забезпечення або приймати неналежні запити. Постійний розвиток групи Lazarus з Північної Кореї демонструє, що безпека криптоактивів вже не є лише технічною проблемою, а є тривалою війною проти державних нападників.