Атакующие JumpCloud кибермошенники по ошибке рассекретили сами себя

Специалисты по кибербезопасности уверены, что за атакой стояли хакеры из Генерального бюро разведки Северной Кореи. Это подразделение нацелено на компании, работающие с криптовалютой и занимается кражами паролей у руководителей и групп безопасности. Северная Корея уже давно занимается криптовалютным воровством, чтобы финансировать собственную программу по разработке и созданию ядерного оружия.

Эксперты компании Mandiant провели собственное расследование и выяснили, что северокорейские хакеры несколько раз использовали коммерческие VPN-сервисы для маскировки своих IP-адресов, но чаще всего VPN не срабатывали или хакеры выключали их при доступе к сети жертвы. Тем самым они раскрыли свои реальные IP-адреса, зарегистрированные в Пхеньяне. Хакеры допустили «ошибку OPSEC», связанную с оперативной безопасностью, и не смогли предотвратить утечку информации о своей деятельности в рамках хакерских кампаний. Исследователи заявили, что они также обнаружили дополнительную инфраструктуру, которая ранее использовалась для взломов, приписываемых Северной Корее.

Хакеры, вероятно, хотели скомпроментировать пострадавшие компании с помощью криптовалюты и использовали для этого творческие пути. Но они допустили ряд ошибок, благодаря чему оказались раскрыты. Выводы Mandiant также подтвердили эксперты компаний SentinelOne и CrowdStrike.

Всего жертвами северокорейских хакеров стали до 5 корпоративных клиентов JumpCloud. После атаки компания сбросила клиентские API-ключи и приняла соответствующие меры безопасности. У JumpCloud более 200 000 корпоративных клиентов, включая GoFundMe, ClassPass и Foursquare.