Radiant Capital ahora dice que los actores de amenazas norcoreanos están detrás del robo de 50 millones de dólares en criptomonedas que se produjo después de que los piratas informáticos violaran sus sistemas en un ciberataque el 16 de octubre.
La atribución se produce después de investigar el incidente, con la ayuda de expertos en ciberseguridad de Mandiant, quienes dicen que el ataque fue realizado por piratas informáticos afiliados al estado norcoreano conocidos como Citrine Sleet, también conocido como «UNC4736 y «AppleJeus».
Estados Unidos advirtió anteriormente que los actores de amenazas norcoreanos apuntan a empresas de criptomonedas, intercambios y empresas de juegos para generar y lavar fondos para apoyar las operaciones del país.
Radiant es una plataforma de finanzas descentralizadas (DeFi) que permite a los usuarios depositar, pedir prestado y administrar criptomonedas a través de múltiples redes blockchain.
La plataforma utiliza la seguridad de la cadena de bloques Ethereum a través del sistema de escalamiento Arbitrum Layer 2 y opera bajo un sistema impulsado por la comunidad que permite a los usuarios participar en la gobernanza a través de casilleros RDNT, enviar propuestas y votar sobre iniciativas activas.
El 16 de octubre de 2024, Radiant anunció que sufrió una violación de 50 millones de dólares causada por un ‘malware sofisticado’ dirigido a tres desarrolladores confiables cuyos dispositivos fueron comprometidos para ejecutar transacciones no autorizadas.
Los piratas informáticos parecían haber explotado el proceso rutinario de firmas múltiples, recopilando firmas válidas bajo la apariencia de errores de transacción y robando fondos de los mercados Arbitrum y Binance Smart Chain (BSC).
El ataque evitó la seguridad de la billetera de hardware y múltiples capas de verificación, y las transacciones parecían normales durante las verificaciones manuales y de simulación, lo que indica una alta sofisticación.
Señalan con el dedo a Corea del Norte
Tras una investigación interna del ataque, con la ayuda de Mandiant, Radiant ahora podría compartir más información sobre el malware utilizado y los autores detrás de él.
El ataque comenzó el 11 de septiembre de 2024, cuando un desarrollador de Radiant recibió un mensaje de Telegram suplantando a un ex contratista, engañándolo para que descargara un archivo ZIP malicioso.
El archivo contenía un archivo PDF que se utilizaría como señuelo y una carga útil de malware para macOS llamada ‘InletDrift’, que establecía una puerta trasera en el dispositivo infectado.
Fuente: Radiante
Radiant dice que el ataque estuvo tan bien diseñado y ejecutado de manera impecable que pasó por alto todas las medidas de seguridad vigentes.
«Este engaño se llevó a cabo de manera tan perfecta que incluso con las mejores prácticas estándar de Radiant, como simular transacciones en Tenderly, verificar los datos de carga útil y seguir los SOP estándar de la industria en cada paso, los atacantes pudieron comprometer múltiples dispositivos de desarrollador», explicó Radiant. .
«Las interfaces frontales mostraban datos de transacciones benignos mientras que las transacciones maliciosas se firmaban en segundo plano. Las comprobaciones y simulaciones tradicionales no mostraron discrepancias obvias, lo que hacía que la amenaza fuera prácticamente invisible durante las etapas normales de revisión».
Mandiant evaluó con gran confianza que el ataque fue realizado por UNC4736, el mismo grupo de amenazas que quedó expuesto por explotar una vulnerabilidad de día cero en Google Chrome a principios de este año.
Dado el éxito de eludir sus medidas de seguridad, Radiant subraya la necesidad de soluciones más sólidas a nivel de dispositivo para mejorar la seguridad de las transacciones.
En cuanto a los fondos robados, la plataforma dice que está colaborando con las autoridades estadounidenses y zeroShadow para recuperar cualquier cantidad posible.
