Отчет от Google Threat Intelligence Group предупредил о кампании по распространению вредоносного ПО, реализованной Северной Кореей, которая использует EtherHiding. Кампания использует смарт-контракт в публичной сети, такой как Ethereum или BNB, чтобы избежать удаления или устранения традиционными методами.
Google: Северная Корея использует блокчейн для распространения вредоносных программ
АВТОР
ПОДЕЛИТЬСЯ
Google предупреждает о размещении Северной Кореей вредоносного ПО в публичных блокчейнах
Факты:
В отчете, опубликованном 16 октября, Google Threat Intelligence Group предупредила о применении публичных блокчейнов для сокрытия вредоносного ПО враждебными государствами, включая Северную Корею.
Кампания использует метод, называемый “EtherHiding”, который позволяет злоумышленникам внедрять вредоносный код в смарт-контракт, находящийся в публичных блокчейнах, таких как Ethereum и BNB Chain. Метод стал популярным в 2023 году, но Google заявляет, что впервые наблюдает за его применением на государственном уровне.
EtherHiding также включает ожидаемые кампании социальной инженерии, которые включают создание поддельных компаний и нацеливание на профили вакансий, связанные с индустрией криптовалют или известными криптовалютными протоколами.
Заражение происходит, когда заинтересованные лица проходят программирование, где они скачивают зараженные инструменты, или через видеоконференции.
Google подчеркивает, что JADESNOW, вредоносное ПО, используемое Северной Кореей и использующее EtherHiding, демонстрирует универсальность этих инструментов на базе блокчейна. В ходе изучения, группа обнаружила, что вредоносный контракт обновлялся более 20 раз в течение первых четырех месяцев, на сумму $1.37 за каждое обновление газа.
“Низкая стоимость и частота этих обновлений иллюстрируют способность злоумышленника легко изменять конфигурацию кампании,” заявили в Google.
Почему это актуально:
Использование такого рода техники, когда блокчейн используется как механизм распространения вредоносного ПО, может побудить регуляторов приложить более жесткий подход к принятию этих технологий.
В то время как вредоносное ПО, размещенное на удаленном сервере, может быть нацелено и удалено, неизменяемость блокчейна означает, что компании безопасности должны искать другие способы предотвращения распространения, нацеливаясь на API-провайдеров, позволяющих транзакциям перемещать этот код к жертвам.
Группа Google и сама заявила, что этот новый подход влечет за собой “новые вызовы”, так как “смарт-контракты работают автономно и не могут быть остановлены”.
Взгляд в будущее:
Аналитики ожидают, что принятие этой техники будет расти в будущем и сочетаться с другими инновационными процессами, чтобы сделать их еще более опасными, нацеленными на системы, которые непосредственно управляют блокчейнами или кошельками.
Часто задаваемые вопросы 🧭
-
Какая недавняя угроза была выявлена Google касательно публичных блокчейнов?
Google сообщила, что государственные деятели, включая Северную Корею, используют метод под названием “EtherHiding” для внедрения вредоносного ПО в смарт-контракты на публичных блокчейнах, таких как Ethereum и BNB Chain. -
Как работает метод EtherHiding?
EtherHiding позволяет злоумышленникам скрывать вредоносный код в смарт-контрактах и полагается на тактики социальной инженерии, такие как создание поддельных компаний для заманивания соискателей работы, связанных с криптовалютой. -
Какое конкретное вредоносное ПО было связано с этой новой техникой?
Отчет подчеркнул JADESNOW, северокорейское вредоносное ПО, которое использует EtherHiding, демонстрируя частые обновления и низкие операционные затраты на изменение конфигурации атаки. -
Какие последствия имеет эта техника для регулирования блокчейнов?
Поскольку неизменяемость блокчейна усложняет удаление вредоносного ПО, регуляторы могут поискать более строгий контроль над технологиями блокчейнов, чтобы смягчить возникающую угрозу эксплуатации вредоносного ПО в криптосреде.
