Sicherheitsforscher gehen davon aus, dass nordkoreanische Hacker aufgrund eines Fehlers der Hacker hinter einem kürzlichen Einbruch in das Unternehmenssoftwareunternehmen JumpCloud stecken.
Mandiant, das einen der betroffenen Kunden von JumpCloud unterstützt, führte den Verstoß auf Hacker zurück, die für das nordkoreanische Reconnaissance General Bureau (RGB) arbeiteten, eine Hacking-Einheit, die es auf Kryptowährungsunternehmen abgesehen hat und Passwörter von Führungskräften und Sicherheitsteams stiehlt. Nordkorea nutzt seit langem Kryptodiebstähle zur Finanzierung seines sanktionierten Atomwaffenprogramms.
In ein Blogbeitrag, Mandiant sagte, die Hacking-Einheit, die sie UNC4899 nennt (da es sich um eine neue, nicht klassifizierte Bedrohungsgruppe handelt), habe fälschlicherweise ihre realen IP-Adressen offengelegt. Die nordkoreanischen Hacker nutzten oft kommerzielle VPN-Dienste, um ihre IP-Adressen zu verschleiern, aber in „vielen Fällen“ funktionierten die VPNs nicht oder die Hacker nutzten sie nicht, um auf das Netzwerk des Opfers zuzugreifen, wodurch ihr Zugriff von Pjöngjang aus offengelegt wurde.
Mandiant sagte, seine Beweise stützen, dass es sich um einen „OPSEC-Ausrutscher“ handele, und bezog sich dabei auf die Betriebssicherheit – die Art und Weise, wie Hacker versuchen, zu verhindern, dass Informationen über ihre Aktivitäten im Rahmen ihrer Hacking-Kampagnen nach außen dringen. Die Forscher sagten, sie hätten auch zusätzliche Infrastruktur aufgedeckt, die bei diesem Eindringen verwendet wurde und zuvor von Nordkorea zugeschriebenen Hackern genutzt wurde.
„Bedrohungsakteure im Nordkorea-Nexus verbessern weiterhin ihre Cyber-Offensivfähigkeiten, um Kryptowährungen zu stehlen. Im vergangenen Jahr haben wir gesehen, wie sie mehrere Angriffe auf die Lieferkette durchführten, legitime Software vergifteten und benutzerdefinierte Malware entwickelten und auf MacOS-Systemen verteilten“, sagte Charles Carmakal, CTO von Mandiant. „Letztendlich wollen sie Unternehmen mit Kryptowährung gefährden und haben kreative Wege gefunden, um dorthin zu gelangen. Aber sie machen auch Fehler, die uns geholfen haben, ihnen mehrere Eingriffe zuzuschreiben.“
SentinelOne und CrowdStrike bestätigten außerdem, dass Nordkorea hinter dem JumpCloud-Einbruch steckt.
JumpCloud sagte letzte Woche in einem kurzen Beitrag, dass weniger als fünf seiner Firmenkunden und weniger als zehn Geräte Ziel der nordkoreanischen Hackerkampagne seien. JumpCloud hat seine Kunden-API-Schlüssel zurückgesetzt, nachdem es im Juni einen Einbruch gemeldet hatte. JumpCloud hat mehr als 200.000 Unternehmenskunden, darunter GoFundMe, ClassPass und Foursquare.