USD
99.23
-0.38
EUR
103.3
-0.64
Категория: ЦифровизацияЦифровизация
25 июля 2023 г. в 11:02

Атакующие JumpCloud кибермошенники по ошибке рассекретили сами себя

Атакующие JumpCloud кибермошенники по ошибке рассекретили сами себя
yucatan.com.mx
В середине июля атаке кибермошенников подверглись клиенты компании JumpCloud, разрабатывающей корпоративное программное обеспечение. Но злоумышленники ошиблись и раскрыли свое местоположение.
Специалисты по кибербезопасности уверены, что за атакой стояли хакеры из Генерального бюро разведки Северной Кореи. Это подразделение нацелено на компании, работающие с криптовалютой и занимается кражами паролей у руководителей и групп безопасности. Северная Корея уже давно занимается криптовалютным воровством, чтобы финансировать собственную программу по разработке и созданию ядерного оружия.
Эксперты компании Mandiant провели собственное расследование и выяснили, что северокорейские хакеры несколько раз использовали коммерческие VPN-сервисы для маскировки своих IP-адресов, но чаще всего VPN не срабатывали или хакеры выключали их при доступе к сети жертвы. Тем самым они раскрыли свои реальные IP-адреса, зарегистрированные в Пхеньяне. Хакеры допустили «ошибку OPSEC», связанную с оперативной безопасностью, и не смогли предотвратить утечку информации о своей деятельности в рамках хакерских кампаний. Исследователи заявили, что они также обнаружили дополнительную инфраструктуру, которая ранее использовалась для взломов, приписываемых Северной Корее.
«Угрозы, связанные с Северной Кореей, продолжают совершенствовать свои кибернаступательные возможности, чтобы украсть криптовалюту. За последний год мы видели, как они проводят многочисленные атаки на цепочку поставок, отравляют законное программное обеспечение, а также разрабатывают и развертывают специальное вредоносное ПО в системах MacOS», — сказал технический директор компании Mandiant Чарльз Кармакал.
Хакеры, вероятно, хотели скомпроментировать пострадавшие компании с помощью криптовалюты и использовали для этого творческие пути. Но они допустили ряд ошибок, благодаря чему оказались раскрыты. Выводы Mandiant также подтвердили эксперты компаний SentinelOne и CrowdStrike.
Всего жертвами северокорейских хакеров стали до 5 корпоративных клиентов JumpCloud. После атаки компания сбросила клиентские API-ключи и приняла соответствующие меры безопасности. У JumpCloud более 200 000 корпоративных клиентов, включая GoFundMe, ClassPass и Foursquare.
0 комментариев