Pohjoiskorealaisten hakkeriryhmien toiminta
Pohjoiskorealaiset hakkeriryhmät käyttävät freelance IT-työn houkutusta päästäkseen pilvijärjestelmiin ja varastaakseen kryptovaluuttoja, joiden arvo on miljoonia dollareita, kertoo Google Cloudin ja turvallisuusyritys Wiz:n erillinen tutkimus. Google Cloudin H2 2025 Cloud Threat Horizons -raportti paljastaa, että Google Threat Intelligence Group ”seuraa aktiivisesti” UNC4899:ää, pohjoiskorealaista hakkeriyksikköä, joka onnistui hakkeroimaan kaksi yritystä ottamalla yhteyttä työntekijöihin sosiaalisen median kautta.
Työntekijöiden manipulointi
Molemmissa tapauksissa UNC4899 antoi työntekijöille tehtäviä, jotka johtivat siihen, että työntekijät suorittivat haittaohjelmia työasemillaan. Tämä mahdollisti hakkeriryhmän luoda yhteyksiä sen komentokeskusten ja kohdeyritysten pilvipohjaisten järjestelmien välille. Tämän seurauksena UNC4899 pystyi tutkimaan uhriensa pilviympäristöjä, hankkimaan käyttöoikeustietoja ja lopulta tunnistamaan isäntiä, jotka olivat vastuussa kryptotransaktioiden käsittelystä.
Kryptovaluuttojen varastaminen
Vaikka jokainen erillinen tapaus kohdistui eri (nimettömiin) yrityksiin ja eri pilvipalveluihin (Google Cloud ja AWS), molemmat johtivat ”useiden miljoonien arvoisen kryptovaluutan” varastamiseen. Pohjoiskorealaisten hakkerien työpaikkahoukutusten käyttö on nyt ”melko yleistä ja laajalle levinnyttä”, mikä heijastaa huomattavaa hienostuneisuutta, sanoi Jamie Collier, Google Threat Intelligence Groupin Euroopan johtava uhkatiedusteluneuvoja, Decryptille.
”He esiintyvät usein työpaikkarekrytoijina, toimittajina, asiantuntijoina tai yliopiston professoreina ottaessaan yhteyttä kohteisiin,” hän sanoi ja lisäsi, että he usein viestivät useita kertoja luodakseen suhteen kohteiden kanssa.
Uudet teknologiat ja uhkat
Collier selittää, että pohjoiskorealaiset uhkaajat olivat ensimmäisiä, jotka nopeasti omaksuivat uusia teknologioita, kuten AI:ta, jota he käyttävät ”uskottavampien suhteenrakennussähköpostien” tuottamiseen ja haitallisten skriptien kirjoittamiseen. Myös pilviturvayritys Wiz raportoi UNC4899:n toimista ja huomauttaa, että ryhmää kutsutaan myös nimillä TraderTraitor, Jade Sleet ja Slow Pisces.
Kampanjoiden kehitys
Analyysissaan UNC4899/TraderTraitorista Wiz huomauttaa, että kampanjat alkoivat jo vuonna 2020 ja että alusta alkaen vastuulliset hakkeriryhmät käyttivät työpaikkahoukutuksia saadakseen työntekijät lataamaan haitallisia kryptosovelluksia, jotka oli rakennettu JavaScriptin ja Node.js:n avulla Electron-kehyksellä. Ryhmän kampanja vuosina 2020-2022 ”onnistui murtautumaan useisiin organisaatioihin”, Wiz:n mukaan, mukaan lukien Lazarus Groupin 620 miljoonan dollarin murto Axie Infinityn Ronin Networkiin.
Viimeisimmät hyökkäykset
TraderTraitorin uhkatoiminta kehittyi sitten vuonna 2023 sisältämään haitallisen avoimen lähdekoodin käytön, kun taas vuonna 2024 se keskittyi vale työpaikkatarjouksiin, pääasiassa kohdistuen pörsseihin. Erityisesti TraderTraitor-ryhmät olivat vastuussa Japanin DMM Bitcoinin 305 miljoonan dollarin hakkeroinnista sekä 1,5 miljardin dollarin Bybit-hakkeroinnista myöhään vuonna 2024, jonka pörssi paljasti tänä vuonna helmikuussa.
Haavoittuvuus ja tulevaisuus
Kuten Google:n korostamissa hyökkäyksissä, nämä hakkeroinnit kohdistuivat pilvijärjestelmiin vaihtelevassa määrin, ja Wiz:n mukaan tällaiset järjestelmät edustavat merkittävää haavoittuvuutta kryptovaluutalle. ”Uskomme, että TraderTraitor on keskittynyt pilviin liittyviin hyökkäyksiin ja tekniikoihin, koska siellä on dataa ja siten rahaa,” sanoi Benjamin Read, Wiz:n strategisen uhkatiedustelun johtaja, Decryptille.
”Pohjoiskorealaiset uhkaajat ovat dynaaminen ja ketterä voima, joka jatkuvasti sopeutuu täyttääkseen hallituksen strategiset ja taloudelliset tavoitteet,” sanoi Googlen Collier.
Toistaen, että pohjoiskorealaiset hakkerit käyttävät yhä enemmän AI:ta, Collier selitti, että tällainen käyttö mahdollistaa ”voiman moninkertaistamisen”, mikä puolestaan on mahdollistanut hakkerien laajentaa hyökkäyksiään. ”Emme näe todisteita heidän hidastumisestaan ja odotamme tämän laajentumisen jatkuvan,” hän sanoi.
