美國聯邦調查局(FBI)發出警告稱,北韓駭客組織近來似乎將攻擊目標轉向加密貨幣 ETF 公司,且手法日益精湛,意圖透過「難以偵測的社交工程攻擊」來竊取加密貨幣。
FBI 在周二的聲明中表示,北韓駭客組織的社會工程攻擊具有很強的針對性,通常都是經過一系列的精心策劃和部署,即使是掌握專業資安知識的目標也很難察覺。
FBI 指出,在鎖定好要攻擊的加密貨幣公司之後,北韓駭客通常會對這些企業的員工下手,常見的手法是冒充成獵人頭、幣圈知名人士,又或是潛在受害者直接或間接認識的身邊人,並嘗試與目標進行長時間對話以博得信任,但實則卻在不知不覺中傳播惡意軟體,以入侵公司內部網路,竊取公司的加密貨幣。
根據 FBI 的說法,在接觸受害者之前,攻擊者會透過查看社交媒體,尤其是在「專業人脈網站」、「求職平台」上的活動,來篩選和研究攻擊目標,然後根據潛在受害者的背景、技能、工作或商業利益,量身編造虛假場景,例如假意提供「投資機會」或「就業機會」,藉此吸引目標上鉤。
FBI 表示:「這些犯罪分子通常會用流利或近乎流利的英語與受害者交流,並且都精通加密貨幣領域相關的技術知識。」
FBI 觀察到,過去數個月以來,北韓駭客針對加密貨幣 ETF 相關的各類目標進行了廣泛研究,並警告稱,這很可能就是發動攻擊之前的準備工作,因此敦促加密貨幣 ETF 業者保持警惕、加強網路安全措施。
北韓駭客發動社交工程攻擊的潛在跡象包括:
- 要求在公司設備或其他具有公司內部網路訪問權限的設備上執行代碼或下載應用程式;
- 要求進行「就職前測試」或除錯練習,涉及執行非標準或未知的 Node.js 套件、 PyPI 套件、腳本或 GitHub 儲存庫;
- 提供來自知名加密貨幣或技術公司的就業邀請,未經談判的情況下提供不切實際的高薪;
- 未經提議或討論的情況下,收到來自知名公司或個人的投資邀請;
- 堅持使用非標準或客製化的軟體來完成可透過一般常見軟體可輕鬆實現的簡單任務(例如視訊會議或連接到伺服器);
- 要求運行腳本以啟用據稱因受害者所在地區受限而被封鎖的通話或視訊會議功能。
- 要求將專業對話轉移到其他訊息平台或應用程式;
- 發送可疑連結、附件且未經請求的聯絡人。
根據 Recorded Future 分析師的統計,自 2017 年至去年 12 月為止,Kimsuky 、 Lazarus Group 、 Andariel 等北韓駭客組織在針對加密貨幣產業的一系列攻擊中,總計竊取了價值 30 億美元的加密貨幣。