Северокорейские хакеры используют блокчейн в новой кампании «EtherHiding»

Новая киберугроза исходит из Северной Кореи: поддерживаемые государством хакеры экспериментируют с внедрением вредоносного кода непосредственно в блокчейн-сети.

Группа Threat Intelligence Group (GTIG) компании Google сообщила 17 октября, что эта техника, получившая название EtherHiding, знаменует собой новую эволюцию в способах сокрытия, распространения и управления вредоносным ПО в децентрализованных системах.

Что такое EtherHiding?

GTIG объяснила, что EtherHiding позволяет злоумышленникам использовать смарт-контракты и публичные блокчейны, такие как Ethereum и BNB Smart Chain, для хранения вредоносных нагрузок.

Как только фрагмент кода загружается в эти децентрализованные реестры, удалить или заблокировать его становится практически невозможно из-за их неизменяемой природы.

«Хотя смарт-контракты предлагают инновационные способы создания децентрализованных приложений, их неизменяемая природа используется в EtherHiding для размещения и распространения вредоносного кода таким образом, что его невозможно легко заблокировать», — написали в GTIG.

На практике хакеры взламывают легитимные сайты на WordPress, часто используя неустранённые уязвимости или украденные учетные данные.

Получив доступ, они вставляют несколько строк JavaScript — так называемый «загрузчик» — в код сайта. Когда посетитель открывает заражённую страницу, загрузчик незаметно подключается к блокчейну и получает вредоносное ПО с удалённого сервера.

EtherHiding на BNB Chain и Ethereum. Источник: Google Threat Intelligence Group

GTIG отметила, что эта атака часто не оставляет видимых следов транзакций и требует минимальных или вовсе не требует комиссий, поскольку происходит вне цепочки. Это, по сути, позволяет злоумышленникам действовать незаметно.

Примечательно, что GTIG отследила первый случай использования EtherHiding в сентябре 2023 года, когда он появился в кампании под названием CLEARFAKE, обманывавшей пользователей фальшивыми уведомлениями об обновлении браузера.

Как предотвратить атаку

Исследователи в области кибербезопасности отмечают, что эта тактика свидетельствует о смене цифровой стратегии Северной Кореи: от простого похищения криптовалют к использованию самого блокчейна в качестве скрытого оружия.

«EtherHiding представляет собой переход к хостингу следующего поколения, где основные свойства блокчейн-технологий используются в злонамеренных целях. Эта техника подчеркивает постоянную эволюцию киберугроз, поскольку злоумышленники адаптируются и используют новые технологии в своих интересах», — заявили в GTIG.

Джон Скотт-Рейлтон, старший исследователь Citizen Lab, описал EtherHiding как «эксперимент на ранней стадии». Он предупредил, что сочетание этой техники с автоматизацией на базе искусственного интеллекта может сделать будущие атаки гораздо сложнее для обнаружения.

«Я ожидаю, что злоумышленники также будут экспериментировать с прямой загрузкой эксплойтов zero click в блокчейны, нацеливаясь на системы и приложения, которые обрабатывают блокчейны... особенно если они иногда размещаются на тех же системах и сетях, которые обрабатывают транзакции или содержат кошельки», — добавил он.

Этот новый вектор атаки может иметь серьезные последствия для криптоиндустрии, учитывая, что северокорейские злоумышленники чрезвычайно активны.

По данным TRM Labs, связанные с Северной Кореей группы уже украли более $1.5 миллиардов в криптоактивах только в этом году. Следователи считают, что эти средства помогают финансировать военные программы Пхеньяна и обходить международные санкции.

Учитывая это, GTIG рекомендовала пользователям криптовалют снизить риски, блокируя подозрительные загрузки и ограничивая несанкционированные веб-скрипты. Группа также призвала специалистов по безопасности выявлять и маркировать вредоносный код, встроенный в блокчейн-сети.