L'FBI avverte dei hacker nordcoreani che prendono di mira le aziende di criptovalute

Il Federal Bureau of Investigation (FBI) ha avvertito martedì che attori informatici malevoli della Corea del Nord stanno portando avanti campagne di ingegneria sociale specializzate e difficili da rilevare contro le aziende di criptovalute e i loro dipendenti per distribuire malware e rubare criptovalute aziendali.

“Gli schemi di ingegneria sociale nordcoreani sono complessi ed elaborati, spesso compromettendo le vittime con una sofisticata competenza tecnica. Data la scala e la persistenza di questa attività malevola, anche coloro che sono ben versati nelle pratiche di cybersecurity possono essere vulnerabili alla determinazione della Corea del Nord di compromettere le reti collegate agli asset di criptovaluta,” ha scritto l’FBI in un annuncio di servizio pubblico.

Secondo l’FBI, negli ultimi mesi, la Repubblica Popolare Democratica di Corea (DPRK) ha condotto ricerche mirate a individui collegati a fondi negoziati in borsa (ETF) di criptovalute, in particolare quelli coinvolti in app di finanza decentralizzata (DeFi).

Questo comporta un’ampia ricerca pre-operativa e scenari fittizi personalizzati progettati per sfruttare gli interessi e le connessioni specifiche della persona presa di mira.

Suggerisce che potrebbero tentare potenziali attacchi informatici malevoli contro aziende associate a ETF di criptovalute o altri prodotti finanziari correlati alle criptovalute in futuro.

L’FBI ha anche avvertito le organizzazioni con accesso a grandi quantità di asset o prodotti correlati alle criptovalute di essere consapevoli degli attori minacciosi nordcoreani, poiché sono anche a rischio di essere presi di mira.

I loro metodi includono l’impostazione di persone prominenti associate a determinate tecnologie, la creazione di scenari falsi che coinvolgono nuove assunzioni o investimenti aziendali su misura per il background e gli interessi della vittima, e la distribuzione di malware attraverso conversazioni prolungate con potenziali vittime.

“Gli scenari falsi nordcoreani spesso includono offerte di nuove assunzioni o investimenti aziendali. Gli attori possono fare riferimento a informazioni personali, interessi, affiliazioni, eventi, relazioni personali, connessioni professionali o dettagli che una vittima potrebbe credere siano noti a pochi altri,” avverte l’FBI.

“Gli attori di solito tentano di avviare conversazioni prolungate con potenziali vittime per costruire un rapporto e consegnare malware in situazioni che possono apparire naturali e non allarmanti. Se riescono a stabilire un contatto bidirezionale, l’attore iniziale, o un altro membro del team dell’attore, può trascorrere un tempo considerevole a interagire con la vittima per aumentare il senso di legittimità e generare familiarità e fiducia.”

Per aumentare la credibilità dei loro schemi, questi attori minacciosi impersonano contatti noti, aziende di reclutamento o aziende tecnologiche supportate da siti web professionali e utilizzano immagini realistiche, comprese foto rubate da profili social media aperti, così come immagini false di eventi sensibili al tempo per ottenere un’azione immediata dalle vittime designate.

“Gli attori possono anche impersonare aziende di reclutamento o aziende tecnologiche supportate da siti web professionali progettati per far apparire le entità false legittime. Esempi di siti web nordcoreani falsi possono essere trovati in dichiarazioni giurate per sequestrare 17 domini nordcoreani, come annunciato dal Dipartimento di Giustizia nell’ottobre 2023,” ha aggiunto l’FBI.

Secondo l’FBI, questi attori minacciosi comunicano di solito con le vittime in inglese fluente o quasi fluente e comprendono profondamente gli aspetti tecnici del campo delle criptovalute.

L’FBI ha anche fornito un elenco di potenziali indicatori di attività di ingegneria sociale nordcoreana e metodi di mitigazione che l’industria delle criptovalute e i suoi dipendenti dovrebbero seguire per proteggere i loro asset contro queste sofisticate minacce informatiche.