Az elmúlt években Észak-Korea kibertámadói jelentős fejlődésen mentek keresztül, különösen a blokklánc-technológiák kihasználásában. Egy új, EtherHiding néven ismertté vált módszerrel olyan támadási láncot hoznak létre, amely okosszerződések (smart contracts) segítségével terjeszti a rosszindulatú kódokat, jelentős költség- és munkaerő-megtakarítást eredményezve a hagyományos malware-terjesztési technikákhoz képest.
Mi az az EtherHiding?
Az EtherHiding egy olyan technika, amely az Ethereum és a BNB Smart Chain blokkláncokra építve használ okosszerződéseket rosszindulatú kódok tárolására és terjesztésére. Az okosszerződések létrehozása vagy módosítása általában kevesebb mint 2 dollárba kerül tranzakciónként, ami rendkívül költséghatékony megoldást jelent a támadók számára.
A módszer lényege, hogy a támadók egy több lépcsős fertőzési láncot hoznak létre, ahol az első szakaszokban telepített malware-ek később az okosszerződéseken keresztül töltik le és futtatják a végső károkozó payloadokat. Ez a megközelítés lehetővé teszi számukra, hogy dinamikusan frissítsék a fertőzési láncot és változtassák a payloadok elérési helyét, így megnehezítve az elemzők munkáját.
A támadási kampányok háttere: hamis álláshirdetések és social engineering
A Google kutatói egy különösen kifinomult social engineering kampányt is felfedeztek, amely hamis állásajánlatokkal csábította be célpontjait. Ezek az ajánlatok főként kriptovaluta alkalmazások vagy más online szolgáltatások fejlesztőit célozták meg.
A kiválasztási folyamat során a jelölteknek kódolási vagy kódellenőrzési teszteket kellett teljesíteniük. A tesztekhez szükséges fájlok azonban rosszindulatú kódot tartalmaztak, amelyek így bejutottak a célpontok rendszereibe.
Az UNC5342 csoport és a JadeSnow malware
Egy észak-koreai hátterű csoportot, az UNC5342-t is megfigyelték, amely korábbi szakaszban használt JadeSnow nevű malware-rel dolgozik. Ez a program felelős azért, hogy letöltse a későbbi szakasz malware-eit mind az Ethereum, mind pedig a BNB Smart Chain blokkláncokról.
- Több blokklánc használata: Ez ritka jelenség, ami arra utalhat, hogy az észak-koreai operátorok különböző csapatokra osztva végzik tevékenységüket.
- Rugalmas fertőzési lánc: A JADESNOW downloader képes váltani az Ethereumról a BNB Smart Chain-re történő payload letöltés között egyetlen tranzakción belül.
- Költséghatékonyság: Az alternatív hálózatok alacsonyabb tranzakciós díjai miatt ez a váltás nemcsak elemzés szempontjából bonyolultabbá teszi a támadást, hanem gazdaságilag is előnyös.
Egy másik csoport: UNC5142
A Google kutatói azt is megfigyelték, hogy egy másik csoport, az UNC5142, amely pénzügyi motivációjú támadásokat hajt végre, szintén alkalmazza az EtherHiding technikát. Ez azt mutatja, hogy ez a módszer nem csak állami hátterű csoportok körében terjed el, hanem bűnözői körökben is.
Észak-Korea kibertámadásainak fejlődése
Korábban Észak-Korea hackercsapatai alacsony színvonalúnak számítottak. Az elmúlt tíz évben azonban számos nagy horderejű támadást hajtottak végre, amelyek egyértelműen mutatják növekvő szakértelmüket, fókuszukat és erőforrásaikat.
Például egy blockchain elemző cég, az Elliptic nemrégiben közölte, hogy Észak-Korea eddig több mint 2 milliárd dollár értékű kriptovalutát lopott el 2025-ben. Ez jól tükrözi azt a komoly fenyegetést, amit az ország kibercsapatai jelentenek világszerte.
Összegzés
Az EtherHiding technika alkalmazása új korszakot nyitott meg Észak-Korea kibertámadásaiban. Az okosszerződések használata lehetővé teszi számukra, hogy alacsony költséggel és nagy hatékonysággal terjesszenek malware-eket több blokkláncon keresztül. A social engineering kampányokkal kombinálva ez egy rendkívül veszélyes eszközzé válik mind a kriptovaluta fejlesztők, mind más online szolgáltatások számára.
A biztonsági szakértőknek ezért kiemelt figyelmet kell fordítaniuk ezekre az új fenyegetésekre és folyamatosan fejleszteniük kell védelmi stratégiáikat annak érdekében, hogy megakadályozzák az ilyen típusú támadásokat.