DPRK

От локального ИБ-болотца к крипто-ИБ-болотцу: как вы думаете, что является одним из основных драйверов рынка безопасности блокчейн-проектов?

===

Год назад, в феврале 2024 г., в сообществе энтузиастов блокчейн-безопасности завёлся новый персонаж, некий Nick L. Franklin. Несмотря на нарочито американское имя, Ник не очень-то хорошо выражался по-английски, использовал британскую орфографию, пропускал артикли.

Франклин занимался разбором хаков, происходящих в блокчейне, вёл твиттер и блог, активно контактировал с известными в индустрии людьми. Практически сразу он в довольно навязчивой форме написал и нам в Decurity сначала в Твиттер, а потом и в Телеграм.

Мы кратко обсудили возможное трудоустройство, и он даже обещал предоставить детали о своей личности, но общался он странно, мы поиронизировали и забили.
В течение всего года он набирал аудиторию и обрастал связями, регулярно вёл блоги и писал разборы хаков. В последний раз мы списывались по поводу одного хака, разбор которого мы сами готовили и просили его не выкладывать детали слишком рано.

И тут, спустя больше чем год, Ник Франклин пишет фаундеру проекта 1inch Антону Букову и просит посмотреть на статью, вот только "статью" он скидывает в виде .app-файла.
Антон поднял шум, и выяснилось, что в файле был троян, Франклин сначала отмазывается, а потом удаляет все аккаунты.

Внезапно люди осознают, что всё это время всё сообщество общалось не с Ником Франклином, а с людьми из северокорейских спецслужб, и задним числом это было совершенно очевидно.
Тут же обнаруживается даже прямая связь между "Франклином" и взломом Radiant на $53 млн. в октябре 2024 г.

===

Итак, конечно же главным драйвером крипто-ИБ является солнцеликий Ким Чен Ын и его Lazarus Group!

Что только не делают его подданные: ломают DeFi-протоколы через уязвимости смарт-контрактов, устраивают атаки на цепочки поставок и бекдорят инфраструктуру для дальнейших хищений, выманивают разработчиков крупных компаний на собеседования и подсовывают им бекдоры, сами устраиваются на работу в компании и т. д.

Недавно произошёл самый крупный хак за всю историю — северокорейцы поломали тачку разработчика из проекта Safe и подменили фронтенд мультисиг-кошелька Safe App для всех клиентов, но при этом их бекдор таргетировал всего лишь одного клиента — биржу Bybit. Украли $1.4 млрд. и уже практически целиком отмиксовали и отмыли.

В отмыве северокорейцы чемпионы. Индивидуальные хакеры не могут сравниться с ними в решительности и отточенности действий.
Для корейцев буквально действует мем: "что ты мне сделаешь, я в другом городе".

===

1) Регулярно происходят холивары на тему атрибуции, многие подозревают, что большинство хаков атрибутируют DPRK/Lazarus, просто потому что это легко, и корейцы стали просто козлами отпущения.
Тем не менее, похоже, что атрибуция верна, и сейчас у исследователей есть достаточное количество IoC, достоверно указывающих именно на корейские группировки.

2) Это лишний повод вспомнить, что модель нарушителя и угроз — это легко, но это не просто формальность.
В вашей модели угроз должны быть и хактивисты, которым денег не надо, и тихие иностранные разведки, и собственное государство, и корейцы, которые вас обокрадут, и вы ничего не поделаете, хоть и будете точно знать, что это они.

3) Для редтимеров это всё тоже интересные кейсы — какие техники и тактики можно позаимствовать нам, как пентестерам?
В арсенале лазарус не так много уникальных инструментов, и для них не столь важна бесшумность и анонимность, но социальная инженерия у них работает отлично.
Мы давно пробуем тренировать заказчиков противостоять таким угрозам, направленным именно на разработчиков, а не только проводить стандартные фишинговые рассылки.
Похоже, что стоит это делать активнее.

ИБ-базар

Ну что, отчётность почти в РФ все сдали, видно, что на российской ИБ-полянке произошло за год.
Пишут, что весь рынок недоперформил миллиардов на 20-30, оценивается в 300 млрд (вроде бы в деньгах поставщиков, ещё 20-30 млрд. как раз в деньгах заказчиков ушли на дистрибуторов).

Причём Позитивы недоперформили свои прогнозы собственно на ту же сумму 20-30 млрд. руб.!
Кажется, что это создало интересные возможности для мелких вендоров:
1) В экономике ситуация не очень, крупные заказчики режут расходы, ищут более гибких подрядчиков и вендоров.
2) ПТ, будучи публичной компанией, наобещали слишком много. Я вообще не понимал, как они физически предполагают рост с 8% до 14-15% всего рынка ИБ в стране, это же означает необходимость отжима долей рынка у других ребят, которые совсем не собираются с этими долями расставаться, особенно когда речь идёт об экосистемных компаниях, являющихся частью холдинга (Солар, Бизон, ГИС, ИКС и т. д.).
3) В крупных компаниях не только экономический, но и инновационный кризис: принципиально новые продукты они не придумывают, смежные продукты делают слишком долго и неэффективно, кормовая база в виде давно взлетевшего продукта по сути продолжает их кормить.
В таких условиях основным источником роста является повышение цен и фикция в виде отгрузки пожизненных лицензий или отгрузки лицензий на несколько лет или вообще просто в канал.

Что в итоге? Недобранные грандами миллиарды не только испаряются, но и проливаются на рынок каплями, которые для стартапов означают многократный рост.
Среди знакомых мне молодых предпринимателей в ИБ-сообществе в последние пару лет идёт рост хоккейной клюшкой. Это не 1-2 примера, а прямо паттерн среди дюжины стартапов.
Искренне рад и уважаю их за выдержку, многие ребята много лет разрабатывали продукты, собирая крохи и обивая пороги заказчиков, а теперь разбогатели.

В абсолютном выражении это, конечно, не такие большие деньги, что такое потерянный контракт в 100 млн. для ПТ или Солара? Да ничего. А для стартапа это х2-3 выручки и выход на новую орбиту.

В общем, тем, кто много и хорошо работал над своими продуктами, повезло.
Готовьтесь к везению, и вам повезёт =)