Google: Észak-Korea blokkláncot használ rosszindulatú programok terjesztésére

A Google figyelmeztet Észak-Koreáról, amely rosszindulatú programot helyez el nyilvános blokkláncokon

Tények:

Október 16-án kiadott jelentésében a Google Threat Intelligence Group figyelmeztetett a nyilvános blokkláncok használatára, amelyeket állami szintű fenyegetések, köztük Észak-Korea is, rosszindulatú programok elrejtésére használnak.

A kampány egy “EtherHiding” nevű módszert alkalmaz, amely lehetővé teszi a támadók számára, hogy rosszindulatú kódot rejtsenek el a nyilvános blokkláncokon, például az Ethereumon és a BNB Chain-en található okosszerződések részeként. A módszer 2023-ban terjedt el, de a Google állítása szerint ez az első alkalom, hogy állami nemzet alkalmazza.

Az EtherHiding magában foglalja a várt szociális mérnöki kampányokat is, amelyek hamis cégeket hoznak létre, és olyan munkakeresőket céloznak meg, akik a kriptovaluta iparághoz vagy ismert kriptovaluta protokollokhoz kapcsolódnak.

A fertőzés akkor következik be, amikor az érdeklődő feleket fertőzött eszközök letöltésére késztetik programozási teszteken keresztül, vagy videós találkozókhoz használt szoftverek letöltésével.

A Google kiemelte, hogy a JADESNOW, egy Észak-Korea által használt rosszindulatú program, amely kihasználja az EtherHidinget, bemutatja ezen blokklánc alapú eszközök sokoldalúságát. Vizsgálatát követően a csoport megállapította, hogy a rosszindulatú szerződést az első négy hónapban több mint 20 alkalommal frissítették, mindössze 1,37 dollárnyi “gázdíjat” fizetve frissítésenként.

“A frissítések alacsony költsége és gyakorisága szemlélteti a támadó képességét, hogy könnyen módosítsa a kampány konfigurációját.” – jelentette ki a Google.

Miért releváns:

Az ilyen típusú technika alkalmazása, amelyben a blokkláncot rosszindulatú programok terjesztési mechanizmusaként használják, arra késztetheti a szabályozókat, hogy keményebb megközelítést alkalmazzanak ezeknek a technológiáknak az elfogadásával szemben.

Míg a távoli szervereken tárolt rosszindulatú programokat meg lehet célozni és törölni lehet, a blokklánc megváltozhatatlansága azt jelenti, hogy a biztonsági cégeknek más módokat kell keresniük a terjedés megakadályozására, az API szolgáltatókra célozva, akik lehetővé teszik a tranzakciók kódját az áldozatokhoz továbbítani.

A Google csoportja maga is kijelentette, hogy ez az új megközelítés “új kihívásokat” jelent, mivel “az okosszerződések önállóan működnek, és nem lehet őket leállítani.”

Előre tekintve:

Elemzők várják, hogy az ilyen típusú technika elfogadása a jövőben tovább növekedjen, és más innovatív folyamatokkal kombinálva még veszélyesebbé váljon, közvetlenül a blokkláncot vagy pénztárcákat kezelő rendszereket célozva.

GYIK 🧭

• Milyen fenyegetést azonosított mostanában a Google a nyilvános blokkláncokkal kapcsolatban?
  A Google jelentette, hogy állami szintű szereplők, köztük Észak-Korea, olyan “EtherHiding” nevű módszert alkalmaznak, amely lehetővé teszi rosszindulatú kód elrejtését nyilvános blokkláncok, például az Ethereum és a BNB Chain okosszerződéseiben.

• Hogyan működik az EtherHiding módszer?
  Az EtherHiding segítségével a támadók elrejthetik a rosszindulatú kódot okosszerződésekben, és szociális mérnöki taktikákat alkalmaznak, például hamis cégeket hoznak létre, hogy kriptovaluta kapcsolatos álláskeresőket csábítsanak el.

• Milyen konkrét rosszindulatú program köthető ehhez az új technikához?
  A jelentés kiemelte a JADESNOW nevű, Észak-Korea által használt rosszindulatú programot, amely az EtherHidinget használja, és amely gyakori frissítéseket és alacsony működési költségeket mutat fel támadási konfigurációjának módosításához.

• Milyen következményei vannak ennek a technikának a blokklánc szabályozására nézve?
  Mivel a blokklánc megváltozhatatlansága megnehezíti a rosszindulatú programok eltávolítását, a szabályozók valószínűleg szigorúbb ellenőrzéseket keresnek a blokklánc technológiák felett, hogy csökkentsék a rosszindulatú programok kriptovaluta környezetekben történő kihasználásának fejlődő fenyegetését.