Звіт від Google Threat Intelligence Group попередив про кампанію з використанням шкідливого ПЗ, реалізовану Північною Кореєю, яка використовує EtherHiding. Кампанія використовує смарт-контракт на публічному ланцюжку, наприклад, Ethereum або BNB, щоб уникнути видалення за допомогою традиційних методів.
Google: Північна Корея використовує блокчейн для поширення шкідливого програмного забезпечення
АВТОР
ПОДІЛИТИСЯ
Google попереджає про Північну Корею, що розміщує шкідливе ПЗ у публічних блокчейнах
Факти:
У звіті, виданому 16 жовтня, Google Threat Intelligence Group попередив про використання публічних блокчейнів для приховування шкідливого ПЗ національними загрозами, включаючи Північну Корею.
Кампанія використовує метод під назвою “EtherHiding”, що дозволяє нападникам вбудовувати шкідливий код як частину смарт-контракту, який знаходиться у публічних блокчейнах, таких як Ethereum та BNB Chain. Метод виник у 2023 році, але Google стверджує, що це перший раз, коли він спостерігав державу, що його прийняла.
EtherHiding також включає очікувані кампанії з соціальної інженерії, що включають створення фіктивних компаній та націлювання на профілі роботи, пов’язані з криптовалютною індустрією або відомими криптовалютними протоколами.
Зараження відбувається, коли зацікавлених осіб піддають програмним тестам, які включають завантаження заражених інструментів або через завантаження програмного забезпечення для відеозустрічей.
Google підкреслює, що JADESNOW, шкідливе ПЗ, яке використовує Північна Корея та яке використовує EtherHiding, демонструє універсальність цих інструментів на основі блокчейнів. Розглядаючи його, група виявила, що зловмисний контракт був оновлений понад 20 разів протягом перших чотирьох місяців, за $1.37 за оновлення в газових зборах.
“Низька вартість і частота цих оновлень ілюструє здатність нападника легко змінювати конфігурацію кампанії.” Заявила Google.
Чому це важливо:
Використання такого роду техніки, де блокчейн використовується як механізм для розповсюдження шкідливих програм, може змусити регуляторів зайняти жорсткішу позицію щодо прийняття цих технологій.
У той час як шкідливе ПЗ, розміщене на віддаленому сервері, може бути націлене та видалене, незмінність блокчейна означає, що компанії з безпеки повинні шукати інші способи запобігання його поширенню, націлюючи API-провайдерів, які дозволяють транзакціям переміщувати цей код до жертв.
Група Google сама заявила, що цей новий підхід передбачає “нові виклики”, оскільки “смарт-контракти працюють автономно і не можуть бути зупинені.”
Перспективи:
Аналітики очікують, що прийняття такого роду техніки буде продовжувати рости в майбутньому та бути об’єднаною з іншими інноваційними процесами, щоб зробити їх ще небезпечнішими, націленими на системи, які безпосередньо працюють із блокчейнами або гаманцями.
FAQ 🧭
-
Яку недавню загрозу ідентифікувала Google щодо публічних блокчейнів?
Google повідомила, що актори державного рівня, включаючи Північну Корею, використовують метод під назвою “EtherHiding” для вбудовування шкідливого ПЗ у смарт-контракти на публічних блокчейнах, таких як Ethereum та BNB Chain. -
Як працює метод EtherHiding?
EtherHiding дозволяє нападникам приховувати шкідливий код у смарт-контрактах і покладається на тактики соціальної інженерії, такі як створення фіктивних компаній для залучення криптовалютних претендентів на роботу. -
Яке конкретне шкідливе ПЗ було пов’язане з цією новою технікою?
У звіті висвітлено JADESNOW, північнокорейське шкідливе ПЗ, яке використовує EtherHiding, демонструючи часті оновлення та низькі операційні витрати на зміну конфігурації атаки. -
Які наслідки має ця техніка для регулювання блокчейну?
Оскільки незмінність блокчейну ускладнює видалення шкідливого ПЗ, регулятори можуть прагнути до суворішого контролю над технологіями блокчейну для зменшення еволюційної загрози експлуатації шкідливого ПЗ у середовищах криптовалют.
