Daniel GóreckiZespół Google Threat Intelligence Group (GTIG) ujawnił, że północnokoreańska grupa hakerska UNC5342 wykorzystuje publiczne blockchainy, takie jak Ethereum i BNB Smart Chain, do ukrywania i dystrybucji złośliwego oprogramowania. To pierwsza znana kampania, w której wspierani przez państwo cyberprzestępcy używają inteligentnych kontraktów (smart contracts) jako nośnika złośliwego kodu – techniki określanej mianem EtherHiding.
Do tej pory takie rozwiązania pojawiały się głównie wśród cyberprzestępców finansowych. Tym razem jednak technologia została zaadaptowana przez hakerów powiązanych z reżimem w Pjongjangu, co budzi jeszcze większy niepokój specjalistów ds. cyberbezpieczeństwa.
Jak działa EtherHiding?
Mechanizm wykorzystany przez UNC5342 opiera się na wywołaniach „read-only” do blockchaina, czyli odczytach danych, które nie generują nowych transakcji i nie pozostawiają śladów w analizach łańcucha bloków. Złośliwe skrypty są osadzane bezpośrednio w kodzie inteligentnych kontraktów, co sprawia, że są niemal niemożliwe do usunięcia, bo blockchain, z definicji, jest strukturą niezmienną (immutable). To oznacza, że nawet jeśli kontrakt zostanie wykryty jako złośliwy, nie można go po prostu „usunąć” lub zablokować, jak w przypadku tradycyjnych serwerów czy domen. Dzięki temu hakerzy mogą modyfikować lub podmieniać ładunki złośliwego oprogramowania poprzez aktualizację zmiennych zapisanych w kontrakcie, bez ponownego włamywania się do stron czy urządzeń ofiar.
Technologia została zaadaptowana przez hakerów powiązanych z reżimem w Pjongjangu, co budzi jeszcze większy niepokój specjalistów ds. cyberbezpieczeństwa.
Złośliwy duet: JADESNOW i INVISIBLEFERRET
Google wskazuje, że w tej kampanii UNC5342 używa dwóch nowych narzędzi:
-
JADESNOW – lekki downloader w JavaScripcie, który pobiera dane z blockchaina;
-
INVISIBLEFERRET – pełnoprawne narzędzie zdalnej kontroli (backdoor), umożliwiające długotrwały nadzór, kradzież danych i szpiegostwo.
Zainfekowanie ofiary odbywa się przez naruszenie strony WordPress lub spreparowane oferty pracy dla specjalistów z branży kryptowalut. Osoba odwiedzająca zainfekowaną witrynę otrzymuje w tle loader JADESNOW, który odczytuje dane z inteligentnego kontraktu i uruchamia pobrany kod lokalnie w przeglądarce. Następnie uruchamiany jest INVISIBLEFERRET, czyli narzędzie pozwalające atakującym na pełną kontrolę nad urządzeniem.
Dlaczego to tak niebezpieczne?
EtherHiding to technika wyjątkowo trudna do zwalczania. Po pierwsze, nie ma centralnego serwera, który można by zablokować. Po drugie, komunikacja z blockchainem wygląda jak zwykły ruch sieciowy. Po trzecie zaś, inteligentne kontrakty są nieusuwalne, a ich zawartość widoczna publicznie, ale praktycznie niemożliwa do cenzury. To wszystko sprawia, że tradycyjne metody wykrywania i neutralizacji złośliwego oprogramowania stają się nieskuteczne.
Eksperci z Google zauważają, że hakerzy wykorzystują zwykłe wywołania JSON-RPC, by pobierać dane z kontraktów. Jedynym sposobem ograniczenia ryzyka jest blokowanie publicznych węzłów blockchain lub korzystanie z własnych, zaufanych węzłów z politykami bezpieczeństwa. Z kolei po stronie przeglądarki zaleca się ścisłą kontrolę wykonywania skryptów i rozszerzeń, by uniemożliwić uruchamianie nieautoryzowanego kodu.
Korea Północna i cyberatak jako źródło dochodu
UNC5342 to grupa powiązana z długoletnią kampanią „Contagious Interview”, wymierzoną w deweloperów i specjalistów kryptowalutowych. W przeszłości wykorzystywała ona fałszywe rozmowy rekrutacyjne, aby zainstalować złośliwe oprogramowanie na komputerach ofiar i wykradać dane lub kryptowaluty. Nowe wykorzystanie technologii blockchain sugeruje, że reżim północnokoreański w coraz większym stopniu łączy działalność wywiadowczą z finansowaniem państwa poprzez cyberprzestępczość.
Raporty firm bezpieczeństwa, takich jak CrowdStrike, wskazują, że Pjongjang intensywnie wykorzystuje sztuczną inteligencję oraz pracę zdalną, by ukrywać swoich agentów oraz pozyskiwać środki finansowe poprzez oszustwa i ataki.
Jak podkreśla Google, to dopiero początek i jeśli technika okaże się skuteczna, można spodziewać się, że inne grupy państwowe pójdą tą samą drogą.
Jacek Winkler