Turinys:
ToggleTrumpai tariant
- „Google“ perspėjo, kad Šiaurės Korėjos veikėjai taikosi į kriptovaliutų pramonę sukčiavimo išpuoliais, naudojant AI giliąsias klastotes ir netikrus „Zoom“ susitikimus.
- 2025 metais KLDR įsilaužėliai pavogė daugiau nei 2 milijardus dolerių kriptovaliutų.
- Ekspertai perspėja, kad patikima skaitmeninė tapatybė tampa silpniausia grandimi.
„Google“ saugos komanda „Mandiant“ perspėjo, kad Šiaurės Korėjos įsilaužėliai į netikrus vaizdo susitikimus įtraukia dirbtinio intelekto sukurtus padirbinius, kaip dalį vis sudėtingesnių atakų prieš kriptovaliutų kompanijas, teigiama pirmadienį paskelbtoje ataskaitoje.
„Mandiant“ teigė neseniai ištyrusi įsibrovimą į „fintech“ bendrovę, kurią priskiria UNC1069 arba „CryptoCore“, grėsmės veikėjui, susijusiam su dideliu pasitikėjimu Šiaurės Korėja. Atakos metu buvo panaudota pažeista „Telegram“ paskyra, suklastotas „Zoom“ susitikimas ir vadinamoji „ClickFix“ technika, siekiant apgauti auką vykdyti kenkėjiškas komandas. Tyrėjai taip pat rado įrodymų, kad dirbtinio intelekto sukurtas vaizdo įrašas buvo panaudotas siekiant apgauti taikinį netikro susitikimo metu.
Šiaurės Korėjos aktorius UNC1069 taikosi į kriptovaliutų sektorių naudodamas AI palaikytą socialinę inžineriją, giliuosius klastotes ir 7 naujas kenkėjiškų programų šeimas.
Gaukite išsamios informacijos apie jų TTP ir įrankius, taip pat IOC, kad aptiktumėte ir suieškotumėte veiklą, aprašytą mūsų įraše 👇https://t.co/t2qIB35stt pic.twitter.com/mWhCbwQI9F
– Mandiant (Google Cloud dalis) (@Mandiant) 2026 m. vasario 9 d
„Mandiant pastebėjo, kad UNC1069 taiko šiuos metodus, skirtus kriptovaliutų pramonės įmonėms ir asmenims, įskaitant programinės įrangos įmones ir jų kūrėjus, taip pat rizikos kapitalo įmones ir jų darbuotojus ar vadovus“, – teigiama ataskaitoje.
Šiaurės Korėjos kriptovaliutų vagysčių kampanija
Perspėjimas yra Šiaurės Korėjos kriptovaliuta vagysčių mastai ir toliau auga. Gruodžio viduryje „blockchain“ analizės įmonė „Chainalysis“ pranešė, kad Šiaurės Korėjos įsilaužėliai 2025 metais pavogė kriptovaliutų už 2,02 mlrd. USD, ty 51% daugiau nei praėjusiais metais. Bendra su KLDR susijusių veikėjų pavogta suma dabar siekia maždaug 6,75 mlrd. USD, net jei atakų skaičius sumažėjo.
Išvadose pabrėžiamas platesnis su valstybe susijusių kibernetinių nusikaltėlių veikimo pokytis. Užuot pasikliavę masinėmis sukčiavimo kampanijomis, „CryptoCore“ ir panašios grupės daugiausia dėmesio skiria specialiai pritaikytoms atakoms, kurios išnaudoja pasitikėjimą įprastine skaitmenine sąveika, pvz., kalendoriaus kvietimais ir vaizdo skambučiais. Tokiu būdu Šiaurės Korėja pasiekia didesnių vagysčių per mažiau, labiau tikslingų incidentų.
Anot Mandiant, ataka prasidėjo, kai su auka per Telegram susisiekė, panašu, žinomas kriptovaliutos vadovas, kurio paskyra jau buvo pažeista. Užmezgęs ryšį, užpuolikas nusiuntė „Calendly“ nuorodą į 30 minučių trukmės susitikimą, kuris nukreipė auką į netikrą „Zoom“ skambutį, surengtą pačios grupės infrastruktūroje. Pokalbio metu nukentėjusysis pranešė matęs, kaip atrodė, padirbtą vaizdo įrašą, kuriame užfiksuotas gerai žinomas kriptovaliutų vadovas.
Prasidėjus susitikimui, užpuolikai pareiškė, kad yra garso problemų, ir nurodė aukai paleisti „trikčių šalinimo“ komandas – „ClickFix“ techniką, kuri galiausiai sukėlė kenkėjiškų programų užkrėtimą. Vėliau kriminalistinė analizė nustatė septynias skirtingas kenkėjiškų programų šeimas aukos sistemoje, kurios buvo įdiegtos akivaizdžiai bandant surinkti kredencialus, naršyklės duomenis ir seanso žetonus, skirtus finansinei vagystei ir būsimam apsimetinėjimui.
Deepfake apsimetinėjimas
Fraseris Edwardsas, decentralizuotos tapatybės įmonės cheqd įkūrėjas ir generalinis direktorius, sakė, kad išpuolis atspindi modelį, kurį jis nuolat mato prieš žmones, kurių darbas priklauso nuo nuotolinių susitikimų ir greito koordinavimo. „Šio požiūrio efektyvumą lemia tai, kad mažai kas turi atrodyti neįprastai“, – sakė Edwardsas.
„Siuntėjas yra pažįstamas. Susitikimo formatas yra įprastas. Nėra kenkėjiškų programų priedų ar akivaizdaus išnaudojimo. Pasitikėjimas išnaudojamas prieš bet kokiai techninei gynybai galimybę įsikišti.”
Edvardsas teigė, kad gilus netikras vaizdo įrašas paprastai įvedamas eskalavimo vietose, pavyzdžiui, tiesioginių skambučių metu, kai pažįstamo veido matymas gali panaikinti netikėtų užklausų ar techninių problemų sukeltas abejones. „Kameroje dažnai pakanka pamatyti, kas atrodo tikras žmogus, kad būtų panaikinta netikėto prašymo ar techninės problemos sukelta abejonė. Tikslas nėra ilgalaikis bendravimas, o tik tiek tikroviškumo, kad auka būtų perkelta į kitą žingsnį”, – sakė jis.
Jis pridūrė, kad dirbtinis intelektas dabar naudojamas apsimetinėjimui palaikyti ne tiesioginių skambučių metu. „Jis naudojamas žinutėms kurti, balso tonui koreguoti ir atspindėti tai, kaip kas nors paprastai bendrauja su kolegomis ar draugais. Dėl to įprastus pranešimus sunkiau suabejoti ir sumažėja tikimybė, kad gavėjas pristabdo pakankamai ilgai, kad patikrintų sąveiką”, – aiškino jis.
Edwardsas perspėjo, kad rizika padidės, nes dirbtinio intelekto agentai bus įtraukti į kasdienį bendravimą ir sprendimų priėmimą. „Agentai gali siųsti pranešimus, planuoti skambučius ir veikti naudotojų vardu mašinos greičiu. Jei tomis sistemomis piktnaudžiaujama arba jos pažeidžiamos, padirbtas garso ar vaizdo įrašas gali būti įdiegtas automatiškai, o apsimetinėjimą rankiniu būdu paverčiant keičiamu procesu”, – sakė jis.
„Nerealu“ tikėtis, kad dauguma vartotojų žinos, kaip aptikti gilų klastotę, sakė Edwardsas ir pridūrė, kad „atsakymas yra ne prašymas vartotojų skirti daugiau dėmesio, o sistemų, kurios juos apsaugotų pagal numatytuosius nustatymus, kūrimas. Tai reiškia, kad reikia tobulinti autentiškumo signalizavimo ir tikrinimo būdus, kad vartotojai galėtų greitai suprasti, ar turinys tikras, ar sintetinis, ar nepatvirtintas, nepasikliaujant instinktu ar rankiniu tyrinėjimu.
Dienos apžvalga Naujienlaiškis
Pradėkite kiekvieną dieną nuo populiariausių naujienų dabar ir originalių funkcijų, tinklalaidės, vaizdo įrašų ir kt.
