2
Ripple teilt nun seine interne Bedrohungsinformationen zu nordkoreanischen Hackern mit der Kryptoindustrie, die Unternehmen teilte am Montag mit, in einem Schritt, der neu definiert, wie der Sektor auf eine Veränderung der Angriffsmethodik der DVRK reagiert.
Der Drift-Hack war kein Hack im herkömmlichen Sinne, wie ihn die meisten Menschen verstehen.
Niemand fand einen Fehler oder nutzte einen Smart Contract aus. Nordkoreanische Akteure verbrachten Monate Freundschaft schließen mit den Beiträgern von Drift, schleusten Malware auf ihre Systeme ein und gingen mit den Schlüsseln davon. Bis zu dem Zeitpunkt, an dem die 285 Millionen Dollar bewegt wurden, gab es in allen Systemen, die einen Hackerangriff erkennen sollten, keine Warnung.
Dies ist die Darstellung der Ereignisse, wie sie Ripple und Crypto ISAC, die Bedrohungsaustauschgruppe der Kryptoindustrie, am Montag darlegten neben Nachrichten dass Ripple seine internen Daten zu nordkoreanischen Bedrohungsakteuren nun mit dem gesamten Sektor teilt.
Die Welle von DeFi-Hacks in den Jahren 2022–24 konzentrierte sich auf die Ausnutzung von Code, wobei Angreifer Schwachstellen in Smart Contracts entdeckten und Protokolle innerhalb von Minuten leerten.
Doch während die Sicherheit sich verschärft, verlagert sich die Vorgehensweise vom technischen Bereich auf den Menschen. Unbefugte Mitarbeiter bewerben sich bei Krypto-Unternehmen, bestehen Hintergrundprüfungen, nehmen an Zoom-Anrufen teil und gewinnen über Monate hinweg Vertrauen. Anschließend führen sie Angriffe durch, die kein herkömmliches Sicherheitstool erfassen kann, da der Angreifer bereits im Inneren ist.
Ripple liefert Crypto ISAC nun die Art von Profildaten, die es ermöglichen, dieses Muster unter Unternehmen erkennbar zu machen. LinkedIn-Profile, E-Mail-Adressen, Standorte, Kontaktnummern – oder das verbindende Element, das es einem Sicherheitsteam erlaubt, den Kandidaten, den es gerade interviewt hat, als denselben Mitarbeiter zu identifizieren, der letzte Woche bei drei anderen Firmen in den Hintergrundüberprüfungen durchgefallen ist.
Die stärkste Sicherheitsstrategie im Kryptobereich ist eine gemeinsame", schrieb Ripple auf X. "Ein Bedrohungsakteur, der bei einer Hintergrundüberprüfung in einem Unternehmen durchfällt, wird sich in derselben Woche bei drei weiteren bewerben. Ohne geteilte Informationen beginnt jedes Unternehmen bei Null.
Die Reichweite der Lazarus-Gruppe im Kryptobereich ist nun so deutlich sichtbar, dass sie begonnen hat, sowohl rechtliche als auch sicherheitsbezogene Verfahren zu verändern.
Am Montag reichte ein Anwalt, der Opfer nordkoreanischer Terroranschläge vertritt, eine Klage ein Einstweilige Verfügungen gegen Arbitrum DAO, mit der Begründung, dass die nach dem Kelp-Bridge-Exploit im April eingefrorenen 30.765 $ETH nordkoreanisches Eigentum gemäß dem US-Vollzugsrecht sind.
Das Kreditunternehmen Aave hat seitdem streitgegen die Einreichung zur Unterstützung von Arbitrum, mit der Begründung, dass ein „Dieb nicht dadurch rechtmäßigen Besitz an gestohlenen Gütern erlangt, indem er sie an sich nimmt.“
Der Kelp-Hack hat 292 Millionen US-Dollar in Ether ($ETH) entwendet und wurde auch öffentlich operativen Mitarbeitern der Lazarus Group zugeschrieben, womit die Verluste von April’s Drift und Kelp zusammen mehr als eine halbe Milliarde US-Dollar ausmachen, die innerhalb eines einzigen Monats auf einen einzigen staatlichen Akteur zurückzuführen sind.
Ob ein branchenweites Teilen von Geheimdiensten die Kampagnen tatsächlich verlangsamt, ist eine offene Frage. Dieselben Akteure könnten bereits in der nächsten Runde von Interviews irgendwo sein.
cryptomonday.de