رنوف فرق Web3 من أن الحملة على نطاق واسع على الأرجح.
يشتبه في قيام مجموعة مجموعة لازاروس بمهاجمة أعضاء فريق ديبريدج فاينانس برسالة بريد إلكتروني ضارة
كان هناك عدد كبير من الهجمات ضد بروتوكولات التمويل اللامركزي (التحدي) مثل الجسور المتقاطعة في عام 2022. في حين أن معظم المتسللين غير معروفين ، يُشتبه في أن مجموعة القرصنة الكورية الشمالية – مجموعة لازاروس – كانت وراء عدد من مآثر التحدي.
في منتصف أبريل 2022 ، قال مكتب التحقيقات الفيدرالي (FBI) ووزارة الخزانة الأمريكية ووكالة الأمن السيبراني وأمن البنية التحتية (CISA) إن مجموعة لازاروس تشكل تهديدًا لصناعة التشفير والمشاركين. بعد أسبوع من تحذير مكتب التحقيقات الفيدرالي ، أضاف مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية (OFAC) ثلاثة عناوين تستند إلى Ethereum إلى قائمة المواطنين المعينين خصيصًا والأشخاص المحظورين (SDN).
زعم مكتب مراقبة الأصول الأجنبية (OFAC) أن مجموعة عناوين Ethereum يتم الاحتفاظ بها من قبل أعضاء مجموعة لازاروس للجرائم الإلكترونية. بالإضافة إلى ذلك ، ربط مكتب مراقبة الأصول الأجنبية عناوين الإيثيريوم التي تم وضع علامة عليها مع استغلال جسر رونين (اختراق Axie Infinity بقيمة 620 مليون دولار) بمجموعة قراصنة كوريين شماليين. يوم الجمعة ، قام أليكس سميرنوف ، المؤسس المشارك لشركة ديبريدج فاينانس ، بتنبيه مجتمع العملات الرقمية و Web3 بشأن مزاعم بأن مجموعة لازاروس تحاول مهاجمة المشروع.
“ديبريدج فاينانس كان موضوع محاولة هجوم إلكتروني ، على ما يبدو من قبل مجموعة لازاروس . أكد سميرنوف في تغريدته على إعلانات الخدمة العامة لجميع الفرق في Web3 ، هذه الحملة على الأرجح منتشرة على نطاق واسع . ”
كان ناقل الهجوم عبر البريد الإلكتروني ، حيث تلقى العديد من فريقنا ملف PDF باسم” تعديلات جديدة على الراتب “من عنوان بريد إلكتروني ينتحلني. لدينا سياسات أمنية داخلية صارمة ونعمل باستمرار على تحسينها بالإضافة إلى تثقيف الفريق حول عوامل الهجوم المحتملة “. وتابع سميرنوف:
أبلغ معظم أعضاء الفريق على الفور عن الرسالة الإلكترونية المشبوهة ، لكن أحد الزملاء قام بتنزيل الملف وفتحه. هذا جعلنا نتحرى عن ناقل الهجوم لنفهم بالضبط كيف كان من المفترض أن يعمل وماذا ستكون العواقب.
أصر سميرنوف على أن الهجوم لن يصيب مستخدمي macOS ولكن عندما يفتح مستخدمو Windows ملف pdf المحمي بكلمة مرور ، يُطلب منهم استخدام كلمة مرور النظام. “متجه الهجوم كما يلي: يفتح المستخدم [الرابط] من البريد الإلكتروني -> التنزيلات وفتح الأرشيف -> يحاول فتح ملف PDF ، لكن PDF يطلب كلمة مرور -> يفتح المستخدم password.txt.lnk ويصيب النظام بأكمله ، غرد سميرنوف .
قال سميرنوف إنه وفقًا لتويتر هذا ، فإن الملفات الواردة في الهجوم على فريق ديبريدج فاينانس هي نفس الأسماء و “منسوبة إلى مجموعة لازاروس “. خلص المدير التنفيذي لشركة Debridge Finance إلى أن :
لا تفتح مرفقات البريد الإلكتروني أبدًا دون التحقق من عنوان البريد الإلكتروني الكامل للمرسل ، ولديك بروتوكول داخلي لكيفية مشاركة فريقك للمرفقات. يرجى البقاء SAFU ومشاركة هذا الموضوع لإعلام الجميع بالهجمات المحتملة.
قامت مجموعة لازاروس والمتسللون عمومًا باستهداف مشاريع التحدي وصناعة العملات المشفرة. يُعتبر أعضاء صناعة العملات المشفرة أهدافًا لأن عددًا من الشركات يتعامل مع الشؤون المالية ومجموعة متنوعة من الأصول والاستثمارات.