Хакерска група, подкрепяна от севернокорейското правителство, е проникнала в системите на американска компания за управление на информационни технологии и я е използвала като трамплин за таргетиране на компании за криптовалути, твърдят от фирмата и експерти по киберсигурност, цитирани от Ройтерс.
Хакерите са проникнали в базираната в Луисвил, щата Колорадо, JumpCloud в края на юни и са използвали достъпа си до системите на компанията, за да атакуват „по-малко от 5“ от нейните клиенти, се посочва в блога ѝ
JumpCloud не посочва кои са засегнатите клиенти, но фирмите за киберсигурност CrowdStrike Holdings – която е асистент на JumpCloud – и Mandiant, собственост на Google, също посочват, че замесените хакери са известни с това, че се фокусират върху кражбата на криптовалути.
Двама източници, запознати с въпроса, са потвърдили, че клиенти на JumpCloud, таргетирани от хакерите, са компании за криптовалути.
Атаката показва как кибершпионите от Северна Корея, които някога се задоволяваха да преследват фирми за дигитални валути на парче, сега се захващат с компании, които могат да им дадат по-широк достъп до множество жертви надолу по веригата – тактика, известна като „атака по веригата на доставки“.
„По мое мнение Северна Корея наистина засилва позициите си“, коментира Том Хегел, който работи за американската фирма SentinelOne.
Мисията на Пхенян в ООН в Ню Йорк не е отговорила на запитването за коментар. Северна Корея по-рано отрече да е организирала кражби на дигитални валути въпреки огромните доказателства за обратното, включително от доклади на ООН.
CrowdStrike идентифицира хакерите като „Labyrinth Chollima” – една от няколко групи, за които се твърди, че действат от името на Северна Корея. Mandiant твърди, че хакерите са работили за Главното разузнавателно бюро на Северна Корея, основната чуждестранна разузнавателна агенция на страната.
Американската агенция за кибернаблюдение CISA и ФБР отказват коментар.
Хакването на JumpCloud – чиито продукти се използват, за да помогнат на мрежовите администратори да управляват устройства и сървъри – за първи път беше оповестено публично по-рано този месец, когато фирмата изпрати имейл на клиенти, за да каже, че техните идентификационни данни ще бъдат променени във връзка с „инцидент“.