Предупреждение о новых методах атак
Команда безопасности Google в Mandiant предупредила, что северокорейские хакеры используют дипфейки, сгенерированные искусственным интеллектом, в поддельных видеозвонках в рамках все более сложных атак на криптовалютные компании. Об этом говорится в отчете, опубликованном в понедельник.
Методы атаки UNC1069
Mandiant сообщила, что недавно расследовала вторжение в финтех-компанию, которое связывает с UNC1069, или «CryptoCore», угрозой, с высокой степенью уверенности связанной с Северной Кореей. Атака использовала скомпрометированную учетную запись Telegram, поддельную встречу в Zoom и так называемую технику ClickFix, чтобы обмануть жертву и заставить ее выполнить вредоносные команды.
«Mandiant наблюдала, как UNC1069 использует эти техники для нацеливания как на корпоративные структуры, так и на отдельных лиц в криптовалютной индустрии, включая программные компании и их разработчиков, а также венчурные капитальные фирмы и их сотрудников или руководителей», — говорится в отчете.
Рост краж криптовалюты
Предупреждение поступает на фоне продолжающегося роста краж криптовалюты Северной Кореей. В середине декабря аналитическая компания Chainalysis сообщила, что северокорейские хакеры украли 2,02 миллиарда долларов в криптовалюте в 2025 году, что на 51% больше по сравнению с предыдущим годом. Общая сумма, украденная актерами, связанными с КНДР, теперь составляет примерно 6,75 миллиарда долларов, даже несмотря на снижение числа атак.
Изменения в методах киберпреступников
Эти данные подчеркивают более широкие изменения в том, как действуют киберпреступники, связанные с государством. Вместо того чтобы полагаться на массовые фишинговые кампании, CryptoCore и подобные группы сосредоточены на высоко персонализированных атаках, которые используют доверие в рутинных цифровых взаимодействиях, таких как приглашения в календаре и видеозвонки. Таким образом, Северная Корея достигает больших краж через меньшее количество более целевых инцидентов.
Схема атаки
Согласно Mandiant, атака началась, когда жертва была связана в Telegram с тем, кто, казалось, был известным руководителем криптовалютной компании, чья учетная запись уже была скомпрометирована. После установления доверительных отношений злоумышленник отправил ссылку Calendly на 30-минутную встречу, которая перенаправила жертву на поддельный звонок в Zoom, организованный на инфраструктуре группы.
Во время звонка жертва сообщила, что видела дипфейк видео известного CEO криптовалютной компании. Как только встреча началась, злоумышленники заявили, что есть проблемы со звуком, и инструктировали жертву выполнить команды «устранения неполадок», что в конечном итоге привело к заражению вредоносным ПО.
Риски и рекомендации
Фрейзер Эдвардс, соучредитель и CEO компании по децентрализованной идентификации cheqd, отметил, что атака отражает шаблон, который он наблюдает многократно против людей, чья работа зависит от удаленных встреч и быстрой координации.
«Эффективность этого подхода заключается в том, как мало должно выглядеть необычным», — сказал Эдвардс.
Он также отметил, что ИИ теперь используется для поддержки подражания вне живых звонков. «Он используется для составления сообщений, корректировки тона голоса и имитации того, как кто-то обычно общается с коллегами или друзьями. Это делает рутинные сообщения труднее подвергать сомнению и снижает вероятность того, что получатель задержится достаточно долго, чтобы проверить взаимодействие», — объяснил он.
Эдвардс предупредил, что риск возрастет с введением ИИ-агентов в повседневное общение и принятие решений. «Агенты могут отправлять сообщения, планировать звонки и действовать от имени пользователей на скорости машины. Если эти системы будут злоупотреблены или скомпрометированы, дипфейковое аудио или видео могут быть развернуты автоматически, превращая подражание из ручного усилия в масштабируемый процесс», — сказал он.
«Нереалистично» ожидать, что большинство пользователей будут знать, как распознать дипфейк, добавил Эдвардс, подчеркивая, что «ответ не в том, чтобы просить пользователей обращать больше внимания, а в создании систем, которые защищают их по умолчанию. Это означает улучшение того, как подлинность сигнализируется и проверяется, чтобы пользователи могли быстро понять, является ли контент реальным, синтетическим или неподтвержденным, не полагаясь на инстинкты, знакомство или ручное расследование.»
