Mga Hacker mula North Korea Ginagamit ang Blockchain sa Bagong Kampanyang 'EtherHiding'

Isang bagong banta sa cyber ang lumilitaw mula sa North Korea habang ang mga hacker na suportado ng estado nito ay nagsisimulang mag-eksperimento sa pag-embed ng malisyosong code direkta sa mga blockchain network.

Iniulat ng Google’s Threat Intelligence Group (GTIG) noong Oktubre 17 na ang teknik na tinatawag na EtherHiding ay nagmamarka ng bagong yugto sa paraan ng pagtatago, pamamahagi, at pagkontrol ng malware sa mga desentralisadong sistema.

Ano ang EtherHiding?

Ipinaliwanag ng GTIG na pinapayagan ng EtherHiding ang mga umaatake na gawing sandata ang mga smart contract at mga pampublikong blockchain tulad ng Ethereum at BNB Smart Chain sa pamamagitan ng paggamit ng mga ito upang mag-imbak ng malisyosong payloads.

Kapag ang isang piraso ng code ay na-upload na sa mga desentralisadong ledger na ito, halos imposibleng alisin o harangin ito dahil sa kanilang hindi nababagong katangian.

“Bagaman nag-aalok ang mga smart contract ng makabagong paraan upang bumuo ng mga desentralisadong aplikasyon, ang kanilang hindi nababagong katangian ay ginagamit sa EtherHiding upang mag-host at maghatid ng malisyosong code sa paraang hindi madaling ma-block,” ayon sa GTIG.

Sa aktwal na pagsasagawa, kinokompromiso ng mga hacker ang mga lehitimong WordPress website, kadalasan sa pamamagitan ng pagsasamantala sa mga hindi naayos na kahinaan o ninakaw na mga kredensyal.

Pagkatapos makakuha ng access, naglalagay sila ng ilang linya ng JavaScript—na kilala bilang “loader”—sa code ng website. Kapag binuksan ng bisita ang nahawaang pahina, tahimik na kumokonekta ang loader sa blockchain at kinukuha ang malware mula sa isang remote server.

EtherHiding sa BNB Chain at Ethereum. Source: Google Threat Intelligence Group

Itinuro ng GTIG na kadalasan, ang ganitong uri ng pag-atake ay walang nakikitang bakas ng transaksyon at nangangailangan ng kaunti o walang bayad dahil ito ay nangyayari off-chain. Sa esensya, pinapayagan nito ang mga umaatake na kumilos nang hindi natutuklasan.

Kapansin-pansin, natunton ng GTIG ang unang insidente ng EtherHiding noong Setyembre 2023, nang ito ay lumitaw sa isang kampanya na tinatawag na CLEARFAKE, na nilinlang ang mga user gamit ang pekeng browser update prompts.

Paano Maiiwasan ang Pag-atake

Sinasabi ng mga mananaliksik sa cybersecurity na ang taktikang ito ay nagpapahiwatig ng pagbabago sa digital na estratehiya ng North Korea mula sa simpleng pagnanakaw ng cryptocurrency patungo sa paggamit ng mismong blockchain bilang isang lihim na sandata.

“Ang EtherHiding ay kumakatawan sa paglipat patungo sa susunod na henerasyon ng bulletproof hosting, kung saan ang likas na katangian ng blockchain technology ay muling ginagamit para sa malisyosong layunin. Binibigyang-diin ng teknik na ito ang patuloy na ebolusyon ng mga banta sa cyber habang ang mga umaatake ay umaangkop at gumagamit ng mga bagong teknolohiya para sa kanilang kapakinabangan,” ayon sa GTIG.

Inilarawan ni John Scott-Railton, isang senior researcher sa Citizen Lab, ang EtherHiding bilang isang “eksperimentong nasa maagang yugto.” Binalaan niya na ang pagsasama nito sa AI-driven automation ay maaaring gawing mas mahirap matukoy ang mga susunod na pag-atake.

“Inaasahan kong susubukan din ng mga umaatake na direktang mag-load ng zero click exploits sa mga blockchain na tumatarget sa mga sistema at apps na nagpoproseso ng blockchain... lalo na kung minsan ay naka-host sila sa parehong mga sistema at network na humahawak ng mga transaksyon o may mga wallet,” dagdag pa niya.

Ang bagong attack vector na ito ay maaaring magdulot ng matinding epekto sa crypto industry, lalo na’t kilala ang mga North Korean attacker sa pagiging prolific.

Ipinapakita ng datos mula sa TRM Labs na ang mga grupong konektado sa North Korea ay nakapagnakaw na ng mahigit $1.5 billion sa crypto assets ngayong taon lamang. Naniniwala ang mga imbestigador na ang mga pondong ito ay tumutulong sa pagpopondo ng mga programang militar ng Pyongyang at mga pagsisikap na umiwas sa internasyonal na mga parusa.

Dahil dito, pinayuhan ng GTIG ang mga crypto user na bawasan ang kanilang panganib sa pamamagitan ng pag-block ng mga kahina-hinalang download at paghihigpit sa hindi awtorisadong web scripts. Hinikayat din ng grupo ang mga security researcher na tukuyin at lagyan ng label ang malisyosong code na naka-embed sa loob ng mga blockchain network.