Un grupo de hackers acecha a los NFT

Querida nación sin bancos,

El lunes 21 de marzo, Arthur Cheong, también conocido como Arthur0x, el fundador de DeFiance Capital, se enfrentó a un ataque a su monedero.

A raíz de la brecha, los atacantes responsables vendieron docenas de NFT en OpenSea y recaudaron ilícitamente ~600 ETH, o +$1,7M, en el proceso.

Cheong ha revelado desde entonces el correo electrónico que cree que lanzó el exploit de spear phishing. Tras un examen más detallado, el correo electrónico y el ataque siguen el modus operandi reciente del grupo de hackers BlueNoroff.

El equipo BlueNoroff es similar a una unidad de delitos financieros dentro del grupo Lazarus vinculado a Corea del Norte, según han señalado los investigadores. En el Metaversal de hoy expongo por qué son los principales sospechosos del robo de los NFT de Cheong.

-WMP

Ataque de la APT, o Amenaza Persistente Avanzada

What happened

• Cerca de las 9PM ET del lunes, un atacante comenzó a scrapear NFTs y tokens ERC20 de una de las billeteras calientes de Arthur Cheong, es decir, billeteras de software en un ordenador o dispositivo móvil, a su propia billetera. Más tarde otra de las carteras de Cheong también fue atacada.

• El atacante acumuló casi 60 NFTs de esta manera y procedió a vender muchos de ellos en OpenSea antes de que la mayoría de la gente de la comunidad se hubiera dado cuenta de lo que estaba ocurriendo.

• El atacante complementó sus ventas de NFT vendiendo tokens ERC20 como WETH y LOOKS en exchanges descentralizados como 1inch. Al cierre de esta edición, el monedero que Etherscan ha designado como Arthur0x Wallet Hacker contaba con un botín ilícito de ~590 ETH.
• Cheong, un veterano de las criptomonedas y DeFi, al principio no sabía cómo se había producido el vector del ataque. Sin embargo, trabajando con algunos colegas, Cheong pudo determinar que el archivo adjunto en este correo electrónico reenviado, visualmente normal era probablemente el culpable:

• Cheong continuó afirmando que el equipo BlueNoroff de Lazarus Group estaba detrás del pirateo. También alegó que los mismos atacantes estaban detrás de otros grandes hackeos de criptomonedas en los últimos tiempos:

¿Qué es BlueNoroff?

• Por el artículo de Kaspersky que Cheong publicó sobre BlueNoroff, los investigadores acuñaron la frase "BlueNorOff" para describir un Advanced Persistent Threat (APT) que descubrieron mientras investigaban el gran ciberataque al Bangladesh Bank de febrero de 2016.
• Kaspersky ha señalado en repetidas ocasiones la APT está conectada con Lazarus Group y tiene "una motivación financiera habitual para una APT." Los análisis sugieren que el equipo funciona "como una unidad dentro de una formación mayor de atacantes de Lazarus, con la capacidad de aprovechar sus vastos recursos: ya sean implantes de malware, exploits o infraestructura."
• Mientras BlueNoroff anteriormente tenía como objetivo instituciones bancarias convencionales, su enfoque ofensivo aparentemente ha cambiado hacia empresas de criptomoneda y figuras de criptomoneda de alto perfil en los últimos años.
• Antes de los hackeos de billeteras de Cheong, se vio que BlueNoroff estaba activo tan recientemente como en noviembre de 2021. En 2020, el Ejército de Estados Unidos estimó que la organización tenía aproximadamente 1.700 contribuyentes. El grupo es considerable, tiene experiencia y está especializado en todo tipo de tácticas como el phishing.

Analizando el ataque

• El hackeo a Arthur Cheong se ajusta perfectamente a un estilo de ataque reciente de BlueNoroff. Este vector comienza primero con el stalking, es decir, BlueNoroff estudia a las personas de interés de una organización de criptomonedas y cómo interactúan.
• A continuación, aprenden a imitar, spear phish, las interacciones normales dentro y alrededor de esa organización, es decir. El vector técnico, por ejemplo, un documento compartido a través de Google Drive, permite a BlueNoroff ejecutar malware para infectar los dispositivos de las víctimas y obtener acceso a ellos. Luego fue víctima de spear phishing a través de lo que parecía un correo electrónico benigno reenviado por uno de sus colegas criptográficos. El malware permitió a los atacantes comprometer los monederos calientes de los dispositivos de Cheong, de los que extrajeron NFT y ERC20 para venderlos. Dicho esto, a la luz de todos los hechos disponibles creo que es justo decir que BlueNoroff es el sospechoso nº 1 en este momento. El ataque encaja perfectamente con su reciente modus operandi. Por supuesto, a veces las APT imitan los estilos de otras APT para cubrir sus propias huellas, pero la navaja de Occam nos dice que miremos a BlueNoroff por ahora. ¡Lazarus Group y Corea del Norte tienen grandes incentivos y grandes capacidades para llevar a cabo este tipo de ataques, por no decir otra cosa.

Zooming out: ¿qué deberías hacer?

Pasos de acción

• 🔒 Revisa tu crypto/NFT OpSec
• 🌌 Lee mi última táctica Una guía para principiantes sobre Cosmos en Bankless