Хакери з Північної Кореї прискорюють складні кампанії з використанням глибоких фейків на базі ШІ проти криптоіндустрії

Хакери, пов’язані з режимом Північної Кореї, впроваджують нові більш складні тактики атак проти фахівців у сфері криптовалют за допомогою deepfake відео, створених штучним інтелектом. За останніми повідомленнями, ці хакери здатні обманути цілей, видаючи себе за довірених осіб через цифрово змінені відеодзвінки, змушуючи встановлювати шкідливе програмне забезпечення на їхні пристрої. Операція є значним ескалаційним кроком у кібервійні проти криптоспільноти, поєднуючи техніки соціальної інженерії з передовими технологіями.

Візуальна обманка: як працюють ці складні кампанії

Мартін Кучар, один із головних організаторів BTC Prague, став жертвою цього складного методу атаки. Кіберзлочинці встановили початковий контакт через зламані акаунти у Telegram, використовуючи deepfake відеодзвінки для видачі себе за знайомих контактів. Використаний трюк базується на поширеному привіді: переконати жертву, що їй потрібно встановити «додаток для аудіо», щоб вирішити технічні проблеми на платформах, таких як Zoom. Після встановлення, нібито безпечне програмне забезпечення відкриває двері до повного контролю над зламаним пристроєм.

Ця методика підробки особистості через фальсифікацію відео вдосконалися завдяки прогресу у технологіях клонування голосу та синтетичних зображень. Злочинці ретельно досліджують цілі у соцмережах та професійних платформах перед атакою, обираючи цінних жертв у криптоіндустрії.

Здатності руйнівного шкідливого коду

Дослідницька компанія Huntress глибоко проаналізувала шкідливі скрипти, що використовуються в цих операціях. Код виконує багатоступеневі інфекції, спеціально розроблені для систем macOS, поступово активуючи кілька небезпечних функцій.

Після проникнення у пристрій, шкідливе ПЗ створює «задні двері», щоб зберегти постійний доступ навіть після виявлення зараження. Також воно записує кожен натиск клавіші, захоплюючи паролі, фрази відновлення та конфіденційні дані. Крім того, шкідливий код має доступ до буфера обміну пристрою, витягуючи адреси гаманців та приватні ключі, які були скопійовані нещодавно. Основна мета — компрометація зашифрованих активів гаманця, збережених на машині.

Lazarus Group: організація за кампанією

Дослідники безпеки впевнено приписують ці операції групі Lazarus Group, також відомій як BlueNoroff, — організації хакерів, яка фінансується безпосередньо урядом Північної Кореї. Ця група відповідальна за деякі з найвідоміших кіберзлочинів у криптоіндустрії за останні роки, включаючи масові крадіжки з бірж та компрометації протоколів DeFi.

Команда безпеки SlowMist, спеціалізована на захисті блокчейну, підтвердила, що ці кампанії демонструють шаблони, характерні для попередніх операцій Lazarus Group. Хакери мають глибокі знання інфраструктури крипто, цілеспрямовано атакуючи технічних фахівців, розробників і операторів гаманців із значними активами. Координація та ресурси, що стоять за цими операціями, підтверджують державне фінансування.

Зростаюча загроза deepfake у верифікації особистості

Аналізи безпеки виявили тривожну тенденцію: технології deepfake і клонування голосу досягли такого рівня складності, що зображення та відео вже не можна вважати надійними доказами автентичності. Раніше відеодзвінок був відносно безпечним способом підтвердження особистості контакту. Сьогодні ці хакери демонструють, що цифрова підробка може бути практично невідрізненною від оригіналу.

Ця фундаментальна зміна у ландшафті загроз змушує криптоіндустрію повністю переосмислити свої протоколи безпеки. Візуальна довіра вже недостатня. Фахівці у сфері криптовалют мають впроваджувати багатошарові перевірки особистості, що не залежать лише від візуальних або аудіо підтверджень.

Критичні захисні заходи для криптофахівців

У світлі складності цих хакерів спільнота має впроваджувати більш надійні практики безпеки. Мультифакторна автентифікація є обов’язковою: будь-які перекази активів мають вимагати кілька незалежних перевірок, бажано через канали, що повністю відокремлені.

Рекомендується використовувати апаратні ключі безпеки (наприклад, YubiKeys) для доступу до гаманців і важливих сервісів, що усуває вразливість паролів, захоплених кейлогерами. Користувачам слід насторожено ставитися до будь-яких несподіваних запитів на встановлення програмного забезпечення, навіть якщо вони надходять від довірених контактів. Перевірка таких запитів через альтернативні канали зв’язку є обов’язковою.

Крім того, криптофахівці мають розглядати використання окремих пристроїв для операцій із гаманцями, ізоляції цих машин від відеоконференцій та соцмереж. Індустрія має залишатися пильною щодо еволюції тактик цих хакерів, обмінюватися інформацією про індикатори компрометації та оновлювати системи останніми патчами безпеки.