Noord-Koreaanse hackers hebben een Amerikaans technologiebedrijf gehackt om cryptocurrency te stelen

Een door de Noord-Koreaanse overheid gesteunde hackgroep heeft een Amerikaans IT-beheerbedrijf geschonden en gebruikt als springplank om cryptocurrency-bedrijven aan te vallen, zeiden het bedrijf en cyberbeveiligingsexperts donderdag.

Het bedrijf zei in blogpost.

JumpCloud identificeerde de getroffen klanten niet, maar cyberbeveiligingsbedrijven CrowdStrike Holdings (CRWD.O) – die JumpCloud helpt – en Mandiant (GOOGL.O), eigendom van Alphabet – die een JumpCloud-klant helpt – zeiden beide dat de betrokken hackers bekend staan ​​om diefstal van cryptocurrency.

Twee mensen die bekend zijn met de zaak bevestigden dat de JumpCloud-klanten die het doelwit waren van de hacks cryptocurrency-bedrijven waren.

De hack laat zien hoe Noord-Koreaanse cyberspionnen, die vroeger tevreden waren met het stukje bij beetje op jacht gaan naar cryptocurrency-bedrijven, nu bedrijven aanvallen die hen een bredere toegang tot hun vele uiteindelijke slachtoffers zouden kunnen geven – een tactiek die bekend staat als een “supply chain-aanval”.

zei Tom Heigl, die werkt voor US SentinelOne (SN) en onafhankelijk bevestigd Verplichte toeschrijving en CrowdStrike.

De missie van Pyongyang bij de Verenigde Naties in New York heeft niet gereageerd op een verzoek om commentaar. Noord-Korea heeft eerder ontkend dat het diefstal van cryptocurrency heeft georganiseerd, ondanks massaal bewijs – waaronder VN-rapporten – van het tegendeel.

CrowdStrike heeft de hackers geïdentificeerd als “Labyrinth Chollima” – een van de verschillende groepen die naar verluidt namens Noord-Korea werken. Mandiant zei dat de verantwoordelijke hackers werkten voor het Reconnaissance General Bureau (RGB) van Noord-Korea, de belangrijkste buitenlandse inlichtingendienst.

CISA en de FBI weigerden commentaar te geven.

De hack op JumpCloud – waarvan de producten worden gebruikt om netwerkbeheerders te helpen bij het beheren van apparaten en servers – werd eerder deze maand voor het eerst openbaar toen het bedrijf klanten e-mailde om te zeggen dat hun inloggegevens zouden veranderen “uit een overvloed aan voorzichtigheid met betrekking tot een lopend incident”.

In een eerdere versie van de blogpost waarin werd erkend dat het incident een hack was, traceerde JumpCloud de inbraak tot 27 juni. Podcast gericht op cyberbeveiliging gevaarlijk werk Eerder deze week haalden ze twee bronnen aan die zeiden dat Noord-Korea een verdachte was van de inbraak.

Labyrinth Chollima is een van de meest productieve hackgroepen van Noord-Korea en zou verantwoordelijk zijn voor enkele van de meest gedurfde en ontwrichtende cyberhacks in het geïsoleerde land. De cryptodiefstal leidde tot het verlies van duizelingwekkende bedragen: Blockchain-analysebedrijf Chainalysis zei vorig jaar dat aan Noord-Korea gelieerde groepen naar schatting $ 1,7 miljardvan digitaal geld via verschillende hacks.

De hackteams van Pyongyang mogen niet worden onderschat, zegt Adam Myers, Senior Vice President of Intelligence van CrowdStrike.

“Ik denk niet dat dit het laatste is dat we dit jaar zullen zien bij aanvallen op de toeleveringsketen in Noord-Korea”, zei hij.

(Rapportage door Christopher Bing en Raphael Sater in Washington); Aanvullende rapportage door James Pearson in Londen en Michael Nichols in New York. Bewerking door Anna Driver, Bernadette Baume, Connor Humphreys en Margarita Choi

Onze normen: Vertrouwensprincipes van Thomson Reuters.