Quantstamp seob Humanitati Protokolli $36 miljoni rünnaku kahtlustatavate Põhja-Korea aktoritega

Blockchaini turvalisusfirma Quantstamp väidab, et viimase Humaniteedi protokolli juhtumi põhjuseks olid veebipõhine pettus (phishing) ja kompromitteeritud sülearvuti – see viis 36 miljoni dollari väärtusesse Humaniteed (H) tokenite varastamiseni. Ettevõtte uurimus viitab Põhja-Koreaga seotud ohtudele, tuginedes tehnilistele näitajatele, nagu Lõuna-Korea digitaalne sertifikaat ja DPRK-i rünnakumustritele iseloomulik riistvara käitumine.

Quantstamp teatab, et rünnaku tegijad kasutasid kurjasti kujundatud manusena faili, mis esitas end tõenäoliselt Lõuna-Korea suurima krüptovaluutavahetuse Bithumbi poolt välja antud tokenite lukustusgraafiku uuendusena. Kui fail saadeti töötajale, paigaldas see riistvara, mis andis rünnaku tegijatele täieliku kaugjuurdepääsu – võimaldades neil ligi pääseda protokolli toimingutes kasutatavatele tundlikkudele rahakotimaterjalidele.

Põhikokkuvõtted

• Quantstamp omistab Humaniteedi protokolli kompromitteerumise phishing-manusele, mis andis täieliku kaugjuurdepääsu ühe töötaja kompromitteeritud sülearvutile.
• Riistvara oli, nagu teatatakse, allkirjastatud Hancomi digitaalse sertifikaadiga, mille seos DPRK-i stiilis rünnakumustritega on juba teada.
• Rünnaku tegijad suutsid ära võtta rahakotite autentimisandmed, sealhulgas MetaMaski rahakoti andmed ja privaatsed võtmed Humaniteedi protokolli direktorilt.
• Turvalisusfirmad jätkavad seostamist Põhja-Koreaga seotud aktiivsete isikute ja viimastel aastatel ning 2025. aastal toimunud krüptovaluutade varastamisega seotud suurte kaotustega.
• Quantstampi avastused täiendavad kasvavat mustrit, kus sihitud sotsiaalne inseneritöö (social engineering) kasutatakse krüptoprojektidesse töötajate kaudu ligipääsu saamiseks.

Phishing-manus muutub ligipääsupunktiks

Insidenti lahendades teatas Quantstamp, et Humaniteedi protokolli rünnaku tegijad saavutasid kontrolli kompromitteeritud töötaja sülearvutile. Selleks kasutati, nagu firma väidab, phishing-e-kirja koos kurjasti kujundatud manusena, mis imiteeris tokenitega seotud uuendust.

Manus oli varjatud nii, et see näis olevat Bithumbi välja antud tokenite lukustusgraafiku uuendus. Kui fail avati, paigaldas see riistvara, mille Quantstamp väidab andnud rünnaku tegijatele täieliku kaugjuurdepääsu seadmele.

See on oluline, sest see liigutab juhtumi puhul narratiivi puhtalt chainis toimunud eksploiteerimisest inimese- ja infrastruktuuri riskide narratiivile: esmane läbimurde mehhanism sõltus lõppkasutaja kompromitteerumisest, mitte otsestest tarkvaravõtmete (smart contract) koodis olevatest tõrgetest.

Rahakotite autentimisandmete varastamine ja kaugjuurdepääsu roll

Quantstamp lisas, et riistvara võimalused ulatusid sülearvuti üldisest juhtimisest kaugemale. Firma teatas, et rünnaku tegijad kasutasid juurdepääsu, et kopeerida Humaniteedi protokolli direktori Chong Yee Wai MetaMaski rahakoti autentimisandmed ja privaatsed võtmed.

Selline töövoog – rahakotimaterjalide varastamine pärast kaugjuurdepääsu saamist – võimaldab kiiret rahavahetust. See rõhutab ka seda, miks krüptoruutude juhtumid sageli sõltuvad lõppseadmete turvalisuskontrollidest, näiteks phishing-resistentsetest autentimismeetoditest ja tugevatest võtmehalduse protseduuridest, mitte ainult lepingutasemel (contract-level) kaitsemehhanismidest.

Tehnilised signaalid, mille Quantstamp seob DPRK-i rünnakutega

Phishingu ja kaugjuurdepääsu lisaks viitas Quantstamp tehnilisele detailile, mille ta kirjeldas kui „DPRK-i rünnakutele iseloomulikku“. Firma teatas, et riistvara oli allkirjastatud Lõuna-Korea Hancomi digitaalse sertifikaadiga.

Quantstampi atributsioon vastab sellele, kuidas paljud ohutusaruanded ehitatakse küberkriminalistilistes uurimustes: kuigi täpne atributsioon avalikult harva kinnitatakse, kasutavad analüütikud sageli tööriistade, allkirjastamise käitumise ja operatsiooniliste mustrite kombinatsioone. Sel juhul esitatakse konkreetse allkirjasertifikaadi esinemine ja täheldatud riistvara käitumine kui korreleeruvaid indikaatoreid.

Kuidas see sobib laiemasse Põhja-Koreaga seotud krüptovaluutade varastamise mustrisse

Kahtlus Põhja-Korea osas ei ilmu isolatsioonis. Quantstampi aruanne esitatakse taustal, millel mitmed turvalisusuuringud on seotud Põhja-Koreaga seotud rühmadega, kes on vastutavad suurtest krüptovaluutade varastamistest.

Cointelegraph teatas varem, et Põhja-Koreaga seotud ohutegijad olid seotud aprillis toimunud krüptovaluutaga seotud juhtumites varastatud 634 miljoni dollari väärtuses summa vähemalt 578 miljoniga, viidates varasemale analüüsile.

Eraldi mainis blockchaini turvalisusfirma CertiK oma mai aruandes, et samad tegijad on seotud 2025. aastal krüptovaluutade ekspluateerimisega kaotatud 3,4 miljardi dollari väärtuses summa umbes 2 miljoni dollari väärtuses osaga, moodustades kokku 12% kogu juhtumitest. CertiK iseloomustas neid operatsioone „täpsuse ja skaala“ pealt, rõhutades, et fookus pole ainult mahtul, vaid ka tõhusal elluviimisel.

Pikema ajaperioodi vaadeldes viitab artiklis tsitaaditud aruanne sellele, et viimase kümnendi jooksul on Põhja-Koreaga seotud tegijad varastanud ligikaudu 6,75 miljardit dollarit krüptovaluutades 263 dokumenteeritud juhtumis. CertiK väitis ka, et Põhja-Korea on „industrialiseerinud“ krüptovaluutade varastamise riikliku sissetuleku põhimehhanismiks, paigutades selle tegevuse olulisena välismaise sissetuleku komponendina.

Põhja-Korea tagasilükkamine ja miks atributsioon jääb kontroversiaalseks

Põhja-Korea reageerib tavaliselt otsestel viisidel küberkuritegevuse süüdistustele. Siiski märkis artikkel, et 3. mail esitas Välisministeeriumi esindaja Korean Central News Agency (KCNA) edastatud avalduses väited krüptovaluutade rünnakutes osalemise kohta.

Selles vastuses väitis esindaja, et Ameerika Ühendriigid levitavad „valeinformatsiooni“ mittetegelikust „küberohust“ Põhja-Koreast, nagu artiklis viidatud aruandes öeldakse.

Investorite ja operaatorite jaoks on põhiline õppetund see, et atributsiooniklaimi ei tule käsitleda kui kohtus kindlaks tehtud tõsiasja, vaid tunnistada, et nende juhtumite taga olevad musterid – eriti lõppseadmete kompromitteerumine ja autentimisandmete varastamine – on rakendatavad, olenemata atributsiooniaruteludest. Ka siis, kui riiklik osalemine on vaidlusalune, jäävad praktilised kaitsemeetmed sarnased: tugevdada juurdepääsu personali süsteemidele, vähendada autentimisandmete varastamise riistvara (credential-harvesting malware) mõju ja tagada taastumis- ja insidentide lahendamise plaanid, mis eeldavad, et sotsiaalne inseneritöö võib õnnestuda.

Edaspidi peaksid lugejad jälgima Humaniteedi protokolli ja turvalisusmonitorite järgmiseid täiendusi selle kohta, kas täiendavaid rahakotte või seotud infrastruktuuri on sihitud, samuti laiemat tööriistade juhendit Quantstampi ja teiste analüütikute poolt phishingu põhjustatud lõppseadmete võimaliku ülevaldamise ennetamiseks.

Selle artikli algne versioon ilmus pealkirjaga „Quantstamp Links Humanity Protocol’s $36M Hack to Suspected NK Actors“ Crypto Breaking News’is – teie usaldusväärne allikas krüptovaluutade uudiste, Bitcoin-uudiste ja blockchaini uuenduste kohta.