Северокорейские хакеры взломали платформу Radiant Capital и похитили 50 миллионов долларов
Северокорейские хакеры взломали платформу Radiant Capital и похитили 50 миллионов долларов
Компания Radiant Capital подтвердила, что за кражей $50 миллионов с платформы в октябре стоят хакеры, связанные с Северной Кореей.
Расследование выявило, что атаку провела группа Citrine Sleet (UNC4736, AppleJeus).
О краже средств Radiant Capital сообщила поздно вечером 16 октября. Злоумышленники применили сложное вредоносное ПО для взлома устройств трёх доверенных разработчиков. Затем хакеры осуществили несанкционированные транзакции, замаскировав их под ошибки в процессе подписи. Средства были выведены с рынков Arbitrum и Binance Smart Chain (BSC).
Расследование показало, что атака была начата 11 сентября. Один из разработчиков Radiant получил сообщение в Telegram от лица, представившегося бывшим подрядчиком. Злоумышленники отправили архив с вредоносным ПО. Внутри находился поддельный PDF-документ и вредоносный файл для macOS под названием «InletDrift», который установил скрытый доступ на устройство.
С помощью вредоносного ПО атакующие внедрили свои транзакции, которые в интерфейсе платформы выглядели как законные. Даже при ручной проверке транзакций и с использованием симуляции не обнаруживались признаки подозрительной активности, что подчёркивает высокий уровень подготовки атаки.
Эксперты Mandiant с высокой степенью уверенности заявили, что за атакой стоит группа UNC4736, ранее известная эксплуатацией уязвимости нулевого дня в Google Chrome. Специалисты отмечают, что атака была столь тщательно спланирована, что смогла обойти все стандартные меры защиты аппаратных кошельков и многоуровневую верификацию.
Для возвращения похищенных средств платформа сотрудничает с правоохранительными органами США и компанией zeroShadow. Кроме того, в Radiant подчеркнули необходимость усиления мер безопасности на уровне устройств для предотвращения подобных атак в tidtridhidkmp будущем.
Распечатать
