Google: Північна Корея використовує Блокчейн для розповсюдження шкідливого ПЗ

Звіт від групи загроз Google попередив про кампанію зі шкідливими програмами, реалізовану Північною Кореєю, яка використовує EtherHiding. Кампанія використовує смарт-контракт на публічному ланцюзі, такому як Ethereum або BNB, щоб уникнути видалення або усунення традиційними методами.

Google попереджає про те, що Північна Корея впроваджує шкідливі програми в публічні блокчейни

Факти:

У звіті, опублікованому 16 жовтня, Група загроз Google повідомила про використання публічних блокчейнів для приховування шкідливих програм у діях загроз національних держав, зокрема Північної Кореї.

Кампанія використовує метод під назвою “EtherHiding”, який дозволяє зловмисникам вбудовувати шкідливі програми як частину смарт-контракту, що розміщується в публічних блокчейнах, таких як Ethereum та BNB Chain. Цей метод зріс у 2023 році, але Google стверджує, що це перший випадок, коли він спостерігав, як державна нація його використовує.

EtherHiding також охоплює очікувані кампанії соціальної інженерії, які включають створення фальшивих компаній та націлювання на профілі робіт, пов'язані з індустрією криптовалют або відомими криптовалютними протоколами.

Зараження відбувається, коли зацікавлені сторони проходять програмні тести, які включають завантаження заражених інструментів або через завантаження програмного забезпечення для відеозустрічей.

Google підкреслює, що JADESNOW, шкідливі програми, які використовуються Північною Кореєю і які використовують EtherHiding, демонструють універсальність цих інструментів на основі блокчейну. Вивчаючи його, група виявила, що шкідливий контракт був оновлений понад 20 разів протягом перших чотирьох місяців, за $1.37 у витратах на газ за оновлення.

“Низька вартість і частота цих оновлень ілюструє здатність атакуючого легко змінювати конфігурацію кампанії.” оголосив Google.

Чому це важливо:

Використання такого роду техніки, коли блокчейн використовується як механізм розповсюдження шкідливих програм, може спонукати регуляторів вжити більш жорсткого підходу до впровадження цих технологій.

Хоча шкідливі програми, розміщені на віддаленому сервері, можуть бути націлені та видалені, незмінність блокчейну означає, що компанії з безпеки повинні шукати інші способи запобігання поширенню, націлюючись на постачальників API, які дозволяють транзакціям переносити цей код до жертв.

Група Google сама заявила, що цей новий підхід передбачає “нові виклики”, оскільки “розумні контракти працюють автономно і не можуть бути вимкнені.”

З нетерпінням чекаю:

Аналітики очікують, що впровадження такого роду техніки продовжить зростати в майбутньому та буде поєднано з іншими інноваційними процесами, щоб зробити їх ще більш небезпечними, націленими на системи, які безпосередньо обробляють блокчейни або гаманці.

Часті запитання 🧭

• Яку нещодавню загрозу виявив Google щодо публічних блокчейнів? Google повідомив, що актори державного рівня, включаючи Північну Корею, використовують метод, званий “EtherHiding”, щоб вбудовувати шкідливі програми в смарт-контракти на публічних блокчейнах, таких як Ethereum та BNB Chain.
• Як працює метод EtherHiding? EtherHiding дозволяє зловмисникам приховувати шкідливий код у смарт-контрактах і покладається на тактики соціальної інженерії, такі як створення фальшивих компаній для спокушання тих, хто шукає роботу в криптовалютній сфері.
• Які конкретні шкідливі програми були пов'язані з цією новою технікою? Звіт підкреслив JADESNOW, північнокорейську шкідливу програму, яка використовує EtherHiding, демонструючи часті оновлення та низькі експлуатаційні витрати для зміни конфігурації своїх атак.
• Які наслідки має ця техніка для регулювання блокчейн? Оскільки незмінність блокчейну ускладнює видалення шкідливих програм, регулятори можуть прагнути до більш суворого контролю над технологіями блокчейну, щоб зменшити еволююючу загрозу експлуатації шкідливих програм у середовищах криптовалюти.