В середине июля атаке кибермошенников подверглись клиенты компании JumpCloud, разрабатывающей корпоративное программное обеспечение. Но злоумышленники ошиблись и раскрыли свое местоположение.

Специалисты по кибербезопасности уверены, что за атакой стояли хакеры из Генерального бюро разведки Северной Кореи. Это подразделение нацелено на компании, работающие с криптовалютой и занимается кражами паролей у руководителей и групп безопасности. Северная Корея уже давно занимается криптовалютным воровством, чтобы финансировать собственную программу по разработке и созданию ядерного оружия.

Эксперты компании Mandiant провели собственное расследование и выяснили, что северокорейские хакеры несколько раз использовали коммерческие VPN-сервисы для маскировки своих IP-адресов, но чаще всего VPN не срабатывали или хакеры выключали их при доступе к сети жертвы. Тем самым они раскрыли свои реальные IP-адреса, зарегистрированные в Пхеньяне. Хакеры допустили «ошибку OPSEC», связанную с оперативной безопасностью, и не смогли предотвратить утечку информации о своей деятельности в рамках хакерских кампаний. Исследователи заявили, что они также обнаружили дополнительную инфраструктуру, которая ранее использовалась для взломов, приписываемых Северной Корее.

«Угрозы, связанные с Северной Кореей, продолжают совершенствовать свои кибернаступательные возможности, чтобы украсть криптовалюту. За последний год мы видели, как они проводят многочисленные атаки на цепочку поставок, отравляют законное программное обеспечение, а также разрабатывают и развертывают специальное вредоносное ПО в системах MacOS», — сказал технический директор компании Mandiant Чарльз Кармакал.

Хакеры, вероятно, хотели скомпроментировать пострадавшие компании с помощью криптовалюты и использовали для этого творческие пути. Но они допустили ряд ошибок, благодаря чему оказались раскрыты. Выводы Mandiant также подтвердили эксперты компаний SentinelOne и CrowdStrike.

Всего жертвами северокорейских хакеров стали до 5 корпоративных клиентов JumpCloud. После атаки компания сбросила клиентские API-ключи и приняла соответствующие меры безопасности. У JumpCloud более 200 000 корпоративных клиентов, включая GoFundMe, ClassPass и Foursquare.