Sør-Korea: Nord-koreansk trusselaktør sto bak Ethereum-tyveri verdt 42 millioner dollar i 2019. Designfeil i Fortinet VPN skjuler vellykkede brute-force-angrep.
Sør-Korea: Nord-koreansk trusselaktør sto bak Ethereum-tyveri verdt 42 millioner dollar i 2019
Politiet i Sør-Korea har nylig bekreftet at angripere tilknyttet Nord-Koreas militære etterretningstjeneste har stått bak et omfattende tyveri av kryptovaluta i 2019. Angrepet resulterte i at 342 000 Ethereum, verdt ca. 41,5 millioner dollar på tidspunktet, ble stjålet fra den sør-koreanske kryptobørsen Upbit.
Etterforskningen som er gjennomført i samarbeid med FBI avslører at angriperne infiltrerte kryptobørsen, og overførte de stjålne verdiene til ukjente krypto-lommebøker. Mer enn halvparten av de stjålne eiendelene har blitt hvitvasket gjennom tre kryptobørser som angriperne selv har opprettet. Disse børsene har sannsynligvis svake eller ikke-eksisterende AML og KYC-prosedyrer, noe som gjør det mulig for de kriminelle å veksle stjålet Ethereum til Bitcoin til en rabattert pris. De resterende midlene har blitt hvitvasket gjennom 51 forskjellige børser.
Sør-Koreansk politi har identifisert angriperne som medlemmer av Lazarus-gruppen og Andariel, også kjent som APT38 og APT45. Andariel er kjent for å fokusere på sør-koreanske organisasjoner og bedrifter. Begge knyttes til Nord-Koreas Reconnaissance General Bureau. Lazarus-gruppen er kjent for en rekke høyprofilerte cyberangrep, mot blant annet Sony Pictures i 2014, Bangladesh Bank i 2016 og løsepengeangrepet WannaCry i 2017.
I løpet av etterforskningen har politiet lyktes med å spore opp og få tilbake 4,8 Bitcoin fra en sveitsisk kryptobørs. Til tross for gjentatte anklager, benekter Nord-Korea enhver involvering i cyberhacking eller kryptotyveri.
Designfeil i Fortinet VPN skjuler vellykkede brute-force-angrep
En nyoppdaget designsvakhet i Fortinets VPN-server gjør det mulig å skjule vellykkede innloggingsforsøk under brute-force-angrep. Sårbarheten ligger i serveren sin to-trinns påloggingsprosess, hvor vellykkede forsøk kun logges etter både autentisering og autorisasjon er fullført. Ved å avbryte prosessen etter autentiseringen kan angripere verifisere gyldige påloggingsdetaljer uten at dette registreres i loggene.
Sikkerhetsselskapet Pentera, som oppdaget svakheten, har utviklet et script som utnytter denne designfeilen. Fortinet har ikke klassifisert dette som en sårbarhet, til tross for at det kan gi angripere mulighet til å samle inn gyldige påloggingsdetaljer uten at dette oppdages av sikkerhetsteam.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.