Noord-Korea gebruikt LinkedIn & Telegram in Crypto Exchange-hack van $7 miljoen
In een rapport wordt beweerd dat de beruchte Noord-Koreaanse hackgroep Lazarus LinkedIn- en Telegram-berichten gebruikte als onderdeel van een aanval waarbij het ongeveer $7 miljoen pakte van een in Singapore gevestigde beurs DragonEx in maart 2019.
Volgens Radio Free Asia, die gegevens uit het Chainalysis 2020 Crypto Crime Report citeerden, creëerden Lazarus-hackers zogenaamde nep LinkedIn-accounts, in een poging om malware te verspreiden die "senior managers" bij de exchange op hun computers hadden geïnstalleerd.
Het rapport bevat screenshots van een LinkedIn-profiel voor een gebruiker met de naam Gabe Frank, vermeld als de "oprichter" en "Tech CTO" van een "portefeuillebedrijf" met de naam WFC Proof.
Volgens Radio Free Asia beweert Chainalysis dat de hackers, die zich voordoen als Frank, naamloze leidinggevenden stuurden bij DragonEx-berichten via zowel LinkedIn als Telegram en hen uiteindelijk overhaalden om de malware te downloaden – in de overtuiging dat het de proefversie was van een ‘above-board’ cryptocurrency-handel bot.
In plaats daarvan lijkt het programma malware te bevatten waarmee Lazarus de privésleutels voor de portefeuilles van de exchange kon verkrijgen.
In een eerder fragment uit het Chainalysis-rapport beweerde het bedrijf:
“While the DragonEx hack was relatively small, it was notable for the lengths Lazarus Group went in order to infiltrate the exchange’s systems in a sophisticated phishing attack. Lazarus created a fake company […] complete with a slick website and social media presence for made-up employees. Lazarus even went so far as to build a software product resembling the trading bot they claimed to be selling.”
