Pohjoiskorealaisten hakkerien hyökkäykset
Google’n turvallisuustiimi Mandiant on varoittanut, että pohjoiskorealaiset hakkerit hyödyntävät tekoälyn tuottamia syväväärennöksiä valevideokokouksissa osana yhä kehittyneempiä hyökkäyksiä kryptovaluutta-alan yrityksiä vastaan. Mandiant julkaisi maanantaina raportin, jossa se kertoo tutkineensa äskettäin tunkeutumista fintech-yrityksessä, jonka se liittää UNC1069:ään, eli ”CryptoCoreen”, uhkatoimijaan, joka on vahvasti sidoksissa Pohjois-Koreaan.
Hyökkäys käytti kaapattua Telegram-tiliä, vale-Zoom-kokousta ja niin kutsuttua ClickFix-tekniikkaa, jolla uhri saatiin suorittamaan haitallisia komentoja. Tutkijat löysivät myös todisteita siitä, että tekoälyn tuottamaa videota käytettiin harhauttamaan kohdetta valekokouksen aikana.
”Mandiant on havainnut UNC1069:n käyttävän näitä tekniikoita kohdistuakseen sekä yrityksiin että yksilöihin kryptovaluutta-alalla, mukaan lukien ohjelmistoyrityksiin ja niiden kehittäjiin sekä pääomasijoitusyrityksiin ja niiden työntekijöihin tai johtajiin,” raportissa todetaan.
Kryptovaluuttavarkaudet kasvavat
Varoitus tulee, kun Pohjois-Korean kryptovaluuttavarkaudet kasvavat mittakaavaltaan. Joulukuun puolivälissä blockchain-analytiikkayritys Chainalysis kertoi, että pohjoiskorealaiset hakkerit varastivat 2,02 miljardia dollaria kryptovaluutassa vuonna 2025, mikä on 51 % kasvu edellisvuodesta. DPRK:hen liittyvien toimijoiden kokonaisvarastetut määrät ovat nyt noin 6,75 miljardia dollaria, vaikka hyökkäysten määrä on vähentynyt.
Hyökkäysten muutos
Löydökset korostavat laajempaa muutosta siinä, miten valtiollisiin kyberrikollisiin liittyvät toimijat toimivat. Sen sijaan, että he luottaisivat massapetoksiin, CryptoCore ja vastaavat ryhmät keskittyvät erittäin räätälöityihin hyökkäyksiin, jotka hyödyntävät luottamusta rutiininomaisissa digitaalisissa vuorovaikutuksissa, kuten kalenterikutsuissa ja videopuheluissa. Tällä tavoin Pohjois-Korea saavuttaa suurempia varkauksia vähemmillä, tarkemmin kohdistetuilla tapauksilla.
Hyökkäyksen yksityiskohdat
Mandiantin mukaan hyökkäys alkoi, kun uhri otettiin yhteyttä Telegramissa henkilöltä, joka näytti olevan tunnettu kryptovaluutta-johtaja, jonka tili oli jo kaapattu. Kun suhdetta oli rakennettu, hyökkääjä lähetti Calendly-linkin 30 minuutin kokousta varten, joka ohjasi uhrin vale-Zoom-kokoukseen, joka oli isännöity ryhmän omalla infrastruktuurilla. Puhelun aikana uhri raportoi nähneensä, mitä näytti olevan syväväärennös tunnetusta kryptoyrityksen toimitusjohtajasta.
Kun kokous alkoi, hyökkääjät väittivät, että äänessä oli ongelmia ja ohjasivat uhria suorittamaan ”vianetsintä”-komentoja, ClickFix-tekniikkaa, joka lopulta laukaisi haittaohjelmatartunnan.
Haittaohjelmat ja identiteettivarkaudet
Oikeuslääketieteellinen analyysi tunnisti myöhemmin seitsemän erilaista haittaohjelmaperhettä uhrin järjestelmässä, jotka oli otettu käyttöön ilmeisessä yrityksessä kerätä käyttäjätunnuksia, selaintietoja ja istuntotunnuksia taloudellista varkautta ja tulevaa identiteettivarkautta varten.
Fraser Edwards, hajautetun identiteettifirman cheqd:n perustaja ja toimitusjohtaja, sanoi, että hyökkäys heijastaa kaavaa, jota hän näkee toistuvasti ihmisten kohdalla, joiden työ riippuu etäkokouksista ja nopeasta koordinoinnista.
Riskit ja tulevaisuus
Edwards varoitti, että riski kasvaa, kun tekoälyagentteja otetaan käyttöön jokapäiväisessä viestinnässä ja päätöksenteossa. ”Agentit voivat lähettää viestejä, aikatauluttaa puheluja ja toimia käyttäjien puolesta koneen nopeudella. Jos näitä järjestelmiä väärinkäytetään tai kaapataan, syväväärennösääni tai -video voidaan ottaa käyttöön automaattisesti, muuttaen identiteettivarkauden manuaalisesta ponnistuksesta skaalautuvaksi prosessiksi,” hän sanoi.
On ”epärealistista” odottaa useimpien käyttäjien tietävän, miten tunnistaa syväväärennös, Edwards sanoi ja lisäsi, että ”Vastaus ei ole pyytää käyttäjiä kiinnittämään enemmän huomiota, vaan rakentaa järjestelmiä, jotka suojaavat heitä oletusarvoisesti. Tämä tarkoittaa aitouden merkkien ja vahvistamisen parantamista, jotta käyttäjät voivat nopeasti ymmärtää, onko sisältö aitoa, synteettistä vai vahvistamatonta ilman, että he luottavat vaistoon, tuttuuteen tai manuaaliseen tutkimukseen.”
