Es heißt, dass die RGB Kryptowährungsunternehmen ins Visier nimmt und Passwörter stiehlt, um Kryptodiebstähle zur Finanzierung von Atomwaffenprogrammen durchzuführen.„Mandiant führte diese Eingriffe auf UNC4899 zurück, einen Nexus-Akteur mit der Demokratischen Volksrepublik Korea (DVRK), der in der Vergangenheit Unternehmen in der Kryptowährungsbranche ins Visier genommen hat“, heißt es in einem Blog.Welchen Fehler haben die Hacker begangen?
Mandiant stellte fest, dass Hacker VPN verwenden, um ihren Standort und ihre IP-Adressen zu verbergen, damit sie nicht erwischt werden. Allerdings hat die nordkoreanische Hacking-Einheit fälschlicherweise ihre IP-Adressen offengelegt. Dies lag daran, dass die VPNs „in vielen Fällen“ nicht funktionierten oder die Hacker sie nicht nutzten, um auf das Netzwerk des Opfers zuzugreifen. Durch diesen operativen Fehler wurde ihr Zugriff offengelegt, und das Cybersicherheitsunternehmen stellte fest, dass sich der Bedrohungsakteur direkt bei einer IP-Adresse in Pjöngjang anmeldete. „Darüber hinaus konnte Mandiant zusätzliche Infrastruktur aufdecken, da ein PTR-Eintrag gegenüber einem früheren Vorgang nie geändert wurde. Mandiant hat zuvor die Domain wasxxv identifiziert.“[.]„Die Website wird von nordkoreanischen Bedrohungsakteuren genutzt“, hieß es.Zuvor sagten das Cybersicherheitsunternehmen CrowdStrike Holdings und der Cybersicherheitsforscher Tom Hegel auch, dass der JumpCloud-Einbruch von nordkoreanischen Hackern durchgeführt wurde, die sich mit dem Hacken von Software auskennen.
Ende des Artikels