Raport Google Threat Intelligence Group ostrzegł przed kampanią malware przeprowadzoną przez Koreę Północną, która wykorzystuje EtherHiding. Kampania używa smart kontraktu na publicznym łańcuchu, takim jak Ethereum lub BNB, aby uniknąć usunięcia lub zablokowania tradycyjnymi metodami.
Google: Korea Północna wykorzystuje blockchain do dystrybucji złośliwego oprogramowania
NAPISAŁ
UDOSTĘPNIJ
Google ostrzega przed Koreą Północną umieszczającą malware na publicznych blockchainach
Fakty:
W raporcie opublikowanym 16 października, Google Threat Intelligence Group ostrzega o wykorzystaniu publicznych blockchainów do ukrywania malware przez działalność zagrożeń ze strony państw narodowych, w tym Korei Północnej.
Kampania stosuje metodę zwaną “EtherHiding”, która pozwala na wklejanie złośliwego kodu jako części smart kontraktu znajdującego się w publicznych blockchainach, takich jak Ethereum i BNB Chain. Metoda ta zyskała na popularności w 2023 roku, ale Google twierdzi, że to po raz pierwszy odnotowano jej użycie przez państwo narodowe.
EtherHiding obejmuje także oczekiwane kampanie socjotechniczne, które obejmują zakładanie fałszywych firm i celowanie w profile zawodowe związane z branżą kryptowalutową lub znanymi protokołami kryptowalutowymi.
Zakażenie następuje, gdy zainteresowane strony poddawane są testom programistycznym, które obejmują pobieranie zainfekowanych narzędzi, lub poprzez pobieranie oprogramowania do spotkań wideo.
Google podkreśla, że JADESNOW, malware używane przez Koreę Północną, które wykorzystuje EtherHiding, pokazuje wszechstronność tych narzędzi opartych na blockchainie. Badania ukazały, że złośliwy kontrakt został zaktualizowany ponad 20 razy w ciągu pierwszych czterech miesięcy, za 1,37 USD w opłatach gazowych za aktualizację.
“Niski koszt i częstotliwość tych aktualizacji ilustrują zdolność atakujących do łatwego zmieniania konfiguracji kampanii.” – zadeklarowało Google.
Dlaczego to istotne:
Użycie tego rodzaju techniki, gdzie blockchain jest używany jako mechanizm dystrybucji malware, może skłonić regulatorów do przyjęcia surowszego podejścia do adopcji tych technologii.
Podczas gdy malware hostowane na zdalnym serwerze można namierzyć i usunąć, niezmienność blockchain oznacza, że firmy zajmujące się bezpieczeństwem muszą szukać innych sposobów, aby zapobiec rozprzestrzenianiu się, celując w dostawców API, którzy pozwalają na przesyłanie tego kodu do ofiar.
Sama grupa Google stwierdziła, że nowe podejście oznacza “nowe wyzwania”, ponieważ “smart kontrakty działają autonomicznie i nie mogą zostać wyłączone.”
Spoglądając w przyszłość:
Analitycy oczekują, że adopcja tego rodzaju techniki będzie rosnąć w przyszłości i będzie łączona z innymi innowacyjnymi procesami, by uczynić ją jeszcze bardziej niebezpieczną, celując w systemy, które bezpośrednio obsługują blockchain lub portfele.
FAQ 🧭
-
Jaka niedawna groźba została zidentyfikowana przez Google w związku z publicznymi blockchainami?
Google poinformowało, że aktorzy państwowi, w tym Korea Północna, używają metody zwanej “EtherHiding” do umieszczania malware w smart kontraktach na publicznych blockchainach takich jak Ethereum i BNB Chain. -
Jak działa metoda EtherHiding?
EtherHiding pozwala atakującym ukryć złośliwy kod w smart kontraktach i opiera się na taktykach inżynierii społecznej, takich jak tworzenie fałszywych firm, aby zwabić osoby poszukujące pracy związanej z kryptowalutami. -
Jaki konkretny malware został powiązany z tą nową techniką?
Raport podkreślił JADESNOW, malware północnokoreańskie, które wykorzystuje EtherHiding, wykazując częste aktualizacje i niskie koszty operacyjne dotyczące modyfikacji konfiguracji ataku. -
Jakie implikacje niesie za sobą ta technika dla regulacji blockchainów?
Ponieważ niezmienność blockchain komplikuje usuwanie malware, regulatorzy mogą dążyć do zaostrzenia kontroli nad technologiami blockchain, aby złagodzić ewoluujące zagrożenie eksploatacją malware w środowiskach kryptowalutowych.
