Атака Deepfake-видео из Северной Кореи на профессионалов в области криптовалют с помощью технологий ИИ

Сообщество индустрии криптовалют сталкивается с постоянно растущей угрозой со стороны хакерских групп, поддерживаемых Северной Кореей. Они используют технологию видео deepfake, основанную на ИИ, для проведения сложных и трудно обнаруживаемых кампаний против профессионалов в секторе блокчейн и финтех. Эта стратегия атак демонстрирует значительный эволюционный скачок в том, как злоумышленники используют современные технологии для обмана и проникновения в системы безопасности.

Как видео Deepfake становится самым эффективным оружием атаки

Злоумышленники начинают операцию с взлома аккаунта в Telegram, а затем используют видео deepfake для маскировки под доверенного коллегу или бизнес-партнера. Эта тактика очень эффективна, потому что жертвы реагируют на человека, которого они знают. В случае, описанном Мартином Кучаром, одним из основателей BTC Prague, злоумышленники убеждали кого-то скачать «плагин для исправления аудио Zoom», который на самом деле был вредоносным программным обеспечением.

После того как жертва запускает этот файл, вредоносный код начинает работать в фоновом режиме. На устройствах macOS этот злонамеренный скрипт способен выполнять серию многоступенчатых инфекций, включая установку бэкдора для удаленного доступа, запись нажатий клавиш, кражу содержимого буфера обмена и, что наиболее опасно, похищение зашифрованных активов кошелька. Такой уровень технической сложности показывает, что злоумышленники не ищут просто общего доступа, а целенаправленно нацелены на цифровые активы.

Ведущая кибербезопасная компания Huntress задокументировала, что этот метод атаки демонстрирует очень последовательные шаблоны с предыдущими операциями, нацеленными на разработчиков блокчейн. Эти технические сходства являются сильным индикатором источника и мотивации этой кампании.

Lazarus Group и следы Северной Кореи за этой операцией

Эксперты по безопасности уверенно идентифицировали, что группа Lazarus — также известная как BlueNoroff — является организатором этой операции с видео deepfake. Lazarus Group — государственная хакерская организация, которая давно известна своими атаками на финансовую инфраструктуру и индустрию криптовалют по всему миру.

Руководитель отдела информационной безопасности компании SlowMist заявил, что характеристики этой атаки показывают явные признаки повторного использования шаблонов в различных кампаниях. Тактики, техники и процедуры, применяемые к криптокошелькам и профессионалам отрасли, демонстрируют одинаковые отпечатки пальцев с предыдущими активностями Lazarus.

Почему видео Deepfake усложняет проверку личности

Распространение технологий deepfake и клонирования голоса создало фундаментально изменившийся ландшафт безопасности. Уже нельзя предполагать, что видео или изображение являются подлинным доказательством личности. Современные технологии ИИ позволяют создавать мультимедийный контент, практически неотличимый от оригинала для человеческого глаза.

Эти последствия очень серьезны для индустрии криптовалют, где доверие и проверка личности — основа каждой транзакции. Профессионалы, привыкшие к цифровому общению, должны развивать новую степень скептицизма к видео-коммуникациям, даже если контакт кажется надежным.

Стратегии защиты, которые необходимо внедрять сейчас

В условиях эволюции этой угрозы индустрия криптовалют должна внедрять многоуровочную защиту. Основной приоритет — использование сильной многофакторной аутентификации (MFA), не только для электронных почт или соцсетей, но и для всех устройств и кошельков, хранящих цифровые активы.

Кроме того, организации и отдельные пользователи должны:

• Проверять личность через альтернативные каналы: Никогда не активировать ссылки или скачивать файлы из видеозвонков без предварительной проверки через другие средства связи.
• Повышать осведомленность команды: Регулярное обучение кибербезопасности для распознавания признаков социальной инженерии и подозрительных видео.
• Использовать многоуровковое программное обеспечение безопасности: Endpoint detection and response (EDR) и расширенная защита от угроз могут помочь обнаружить аномальное поведение вредоносных программ.
• Строго управлять доступом: Ограничивать права доступа и применять принцип минимальных привилегий для снижения последствий при компрометации.

Индустрия криптовалют должна оставаться бдительной и проактивной в борьбе с постоянно развивающимися тактиками злоумышленников. Видео deepfake — это уже не гипотетическая угроза, а реальность, с которой необходимо бороться всерьез для каждого участника экосистемы блокчейн.