האקרים מנצלים את Radiant Capital באמצעות תוכנה זדונית, 50 מיליון דולר נשדדו בשוד

PDF מועשר בתוכנה זדונית שנשלח למהנדסי Radiant Capital מאפשר להאקרים מצפון קוריאה לגנוב מעל ל-50 מיליון דולר.

בדוח המעקב האחרון על הפריצה, שפורסם לאחרונה, חשפה החברה Radiant, בעזרת החברה Mandiant, פרטים נוספים. ב-11 בספטמבר 2024, קיבל מפתח בRadiant הודעה ב-Telegram ממישהו שהתחזה למתכנת לשעבר שהתמנה על פרויקט.

ההודעה, שנושאה כאילו מאת מקבל עבודה לשעבר, הכילה קישור לקובץ PDF מכווץ. כך נאמר, המסמך היה קשור לפרויקט חדש של ביקורת חוזים חכמים, וחיפש משוב מקצועי.

הדומיין המקושר לקובץ ה-ZIP הדמה באופן משכנע את אתר האינטרנט החוקי של מקבל העבודה, והבקשה הופיעה כרוטינית במעגלים המקצועיים. מפתחים מחליפים לעתים קרובות קבצי PDF למשימות כמו ביקורות משפטיות או ביקורות טכניות, מה שמפחית את החשד התחילתי.

מתחילה באמון במקור, שיתפה הנמענת את הקובץ עם שאר עמיתיה לעבודה, ובלי לדעת הכינה את הבמה לפשיטה הסייברית.

ללא ידיעה של צוות Radiant, הקובץ ZIP הכיל את INLETDRIFT, תוכנת רעלנית מתקדמת למערכת ההפעלה macOS, שהתחפשה בתוך המסמך "החוקי". כאשר הופעלה, התקינה התוכנה הרעלנית גישה אחורית קבועה, באמצעות AppleScript זדוני.

עיצוב התוכנה הרעילה היה מתוחכם, מציג למשתמשים PDF משכנע בעודו פעל בחשאיות ברקע.

למרות המערכות המחמירות של רדיאנט בנושא סייבר-אבטחה – כולל סימולציות עסקאות, אימות מעמסות והצמדה לתהליכים תקניים משום סוג שהם (SOPs) – התוכנה הרעילה הצליחה לחדור ולהתקין בהצלחה במספר מכשירי מפתחים.

המתקיפים השתמשו בחתימה עיוורת ובממשקים חזיתיים מזויפים, הציגו נתוני עסקה חפים מזיקה כדי להסוות פעילויות מזיקות. כתוצאה מכך, ביצעו עסקאות מרמה ללא זיהוי.

בהכנה לפשיטה, המתקיפים הפציעו חוזים חכמים מזיקים במגוון פלטפורמות, כולל Arbitrum, Binance Smart Chain, Base ו-Ethereum. רק שלוש דקות לאחר הגניבה, הם מחקו עקבות לגישתם האחורית ולתוספי הדפדפן שלהם.

השוד בוצע בדיוק מדויק: רק שלוש דקות לאחר העברת הכספים הגנובים, התוקפים מחקו את עקבותיהם של הדלת האחורית ותוספות הדפדפן המשויכות, מסבך עוד יותר את הניתוח הפורנזי.

Mandiant מייחסת את התקיפה ל-UNC4736, ידוע גם בשם AppleJeus או Citrine Sleet, קבוצה שמקושרת למשרד ההיכר הכללי של צפון קוריאה (RGB). האירוע מדגיש את התחלואות בחתימה עיוורת ובאימותים מקדימים, מדגיש את הצורך הדחוף בפתרונות ברמת החומרה לאימות נתוני עסקה.

Radiant משתפת פעולה עם אכיפת החוק בארה"ב, Mandiant, ו-zeroShadow כדי להקפיא נכסים שנשדדו. ה-DAO ממשיך להתחייב לתמיכה במאמצי השחזור ולשיתוף תובנות כדי לשפר את תקנות האבטחה ברחבי התעשייה.