美国联邦调查局(FBI)发出警告称,北韩骇客组织近来似乎将攻击目标转向加密货币ETF公司,且手法日益精湛,意图透过「难以侦测的社交工程攻击」来窃取加密货币。FBI在周二的声明中表示,北韩骇客组织的社会工程攻击具有很强的针对性,通常都是经过一系列的精心策划和部署,即使是掌握专业资安知识的目标也很难察觉。
FBI指出,在锁定好要攻击的加密货币公司之后,北韩骇客通常会对这些企业的员工下手,常见的手法是冒充成猎人头、币圈知名人士,又或是潜在受害者直接或间接认识的身边人,并尝试与目标进行长时间对话以博得信任,但实则却在不知不觉中传播恶意软体,以入侵公司内部网路,窃取公司的加密货币。根据FBI的说法,在接触受害者之前,攻击者会透过查看社交媒体,尤其是在「专业人脉网站」、「求职平台」上的活动,来筛选和研究攻击目标,然后根据潜在受害者的背景、技能、工作或商业利益,量身编造虚假场景,例如假意提供「投资机会」或「就业机会」,借此吸引目标上钩。
FBI表示:「这些犯罪分子通常会用流利或近乎流利的英语与受害者交流,并且都精通加密货币领域相关的技术知识。」FBI观察到,过去数个月以来,北韩骇客针对加密货币ETF相关的各类目标进行了广泛研究,并警告称,这很可能就是发动攻击之前的准备工作,因此敦促加密货币ETF业者保持警惕、加强网路安全措施。
北韩骇客发动社交工程攻击的潜在迹象包括:要求在公司设备或其他具有公司内部网路访问权限的设备上执行代码或下载应用程式;要求进行「就职前测试」或除错练习,涉及执行非标准或未知的Node.js套件、PyPI套件、脚本或GitHub储存库;提供来自知名加密货币或技术公司的就业邀请,未经谈判的情况下提供不切实际的高薪;未经提议或讨论的情况下,收到来自知名公司或个人的投资邀请;坚持使用非标准或客制化的软体来完成可透过一般常见软体可轻松实现的简单任务(例如视讯会议或连接到伺服器);要求运行脚本以启用据称因受害者所在地区受限而被封锁的通话或视讯会议功能。要求将专业对话转移到其他讯息平台或应用程式;发送可疑连结、附件且未经请求的联络人。根据RecordedFuture分析师的统计,自2017年至去年12月为止,Kimsuky、LazarusGroup、Andariel等北韩骇客组织在针对加密货币产业的一系列攻击中,总计窃取了价值30亿美元的加密货币。