Главная›Статьи›Цифровое проникновение в Северную Корею: угроза фальшивых заявок на работу в криптовалюте
Цифровое проникновение в Северную Корею: угроза фальшивых заявок на работу в криптовалюте
31.07.2024
Ссылка скопирована в буфер
Подозреваемые северокорейские оперативники якобы используют фальшивые заявления о приеме на работу для проникновения в проекты web3, выкачивая миллионы и вызывая проблемы безопасности.
За последние несколько лет блокчейн и web3 были на переднем крае технологических инноваций. Однако, перефразируя цитату, с большими инновациями связан большой риск.
Недавние разоблачения раскрыли сложную схему оперативников, подозреваемых в связях с Корейской Народно-Демократической Республикой, по проникновению в сектор через фальшивые заявления о приеме на работу, что вызывает тревогу по поводу безопасности и целостности отрасли.
Содержание
Экономические мотивы и киберстратегии
Порядок действий: фальшивые заявления о приеме на работу
300 компаний пострадали от мошенничества с поддельными удаленными заявками на работу
Известные инциденты и расследования
Последствия для блокчейна и сектора web3
Экономические мотивы и киберстратегии
Экономика Северной Кореи серьезно пострадала от международных санкций, ограничивающих ее доступ к важнейшим ресурсам, ограничивающих торговые возможности и препятствующих ее способности участвовать в глобальных финансовых транзакциях.
В ответ режим применил различные методы для обхода этих санкций, включая незаконную практику доставки, контрабанду и туннелирование, а также использование подставных компаний и иностранных банков для косвенного проведения транзакций.
Однако одним из самых нетрадиционных методов получения доходов в КНДР, по сообщениям, является использование сложной программы борьбы с киберпреступностью, которая якобы проводит кибератаки на финансовые учреждения, криптовалютные биржи и другие цели.
Криптоиндустрия стала одной из крупнейших жертв предполагаемых кибератак этого государства-изгоя, и в отчете TRM, опубликованном ранее в этом году, указывается, что криптовалюта потеряла по меньшей мере 600 миллионов долларов в Северной Корее только в 2023 году.
В общей сложности в отчете говорится, что Северная Корея несет ответственность за кражу криптовалюты на ошеломляющую сумму в 3 миллиарда долларов с 2017 года.
Сообщается о количестве криптовалют, украденных субъектами, связанными с Северной Кореей, в период с 2017 по 2023 год | Источник: TRM Labs
Поскольку криптовалюта, казалось бы, мягкая и прибыльная цель, появились сообщения о связанных с КНДР актерах, которые закручивают гайки, внедряясь в отрасль с помощью поддельных заявок на работу.
После приема на работу эти оперативники находятся в лучшем положении для кражи и выкачивания средств для поддержки программы создания ядерного оружия Северной Кореи и обхода глобальных финансовых ограничений, наложенных на нее.
Порядок действий: фальшивые заявления о приеме на работу
Судя по историям в СМИ и информации от правительственных агентств, оперативники КНДР, похоже, довели до совершенства искусство обмана, создавая поддельные удостоверения личности и резюме для обеспечения удаленной работы в крипто- и блокчейн-компаниях по всему миру.
В статье Axios от мая 2024 года рассказывалось о том, как северокорейские ИТ-специалисты использовали американскую практику найма, чтобы проникнуть в технологическое пространство страны.
Axios заявила, что северокорейские агенты используют поддельные документы и поддельные удостоверения личности, часто маскируя свое истинное местоположение с помощью VPN. Кроме того, в статье утверждалось, что эти потенциальные злоумышленники в первую очередь нацелены на важные должности в секторе блокчейна, включая разработчиков, ИТ-специалистов и аналитиков безопасности.
300 компаний пострадали от мошенничества с поддельными удаленными заявками на работу
Масштаб этого обмана огромен: Министерство юстиции США недавно выявило, что более 300 американских компаний были обманом наняты северокорейцами с помощью масштабной аферы с удаленной работой.
Эти мошенники не только занимали должности в блокчейне и пространстве web3, но также предположительно пытались проникнуть в более безопасные и чувствительные области, включая правительственные учреждения.
По данным Министерства юстиции, северокорейские оперативники использовали украденные американские удостоверения личности, чтобы выдавать себя за отечественных специалистов в области технологий, и это проникновение принесло миллионы долларов дохода их осажденной стране.
Интересно, что одним из организаторов схемы была жительница Аризоны Кристина Мари Чепмен, которая якобы способствовала трудоустройству этих работников, создав сеть так называемых “ферм ноутбуков” в США.
Сообщается, что эти настройки позволяли мошенникам с трудоустройством действовать так, как будто они работают в Соединенных Штатах, тем самым обманывая многочисленные предприятия, включая несколько компаний из списка Fortune 500.
Вам также может понравиться: Рост имеет значение: уловка, которая профинансировала небылицу
Известные инциденты и расследования
Несколько громких случаев показали, как эти агенты, связанные с Северной Кореей, проникли в криптоиндустрию, использовали уязвимости и занимались мошеннической деятельностью.
Эксперты по кибербезопасности, такие как ZachXBT, предоставили информацию об этих операциях посредством подробного анализа в социальных сетях. Ниже мы рассмотрим некоторые из них.
Пример 1: Перевод Лайта Фьюри в размере 300 тысяч долларов
Недавно ZachXBT обратил внимание на инцидент с участием предполагаемого северокорейского ИТ-работника, использующего псевдоним “Светлая фурия”. Работая под вымышленным именем Гэри Ли, ZachXBT заявил, что Лайт Фьюри перевел более 300 000 долларов со своего публичного адреса Службы имен Ethereum (ENS), lightfury.eth, Ким Сан Ману, имя которого внесено в санкционный список Управления по контролю за иностранными активами (OFAC).
ИТ-работников КНДР, как правило, легко обнаружить, и они не самые умные люди.
Пример: Лайт Фьюри (@lee_chienhui) - ИТ-работник из КНДР, который перевел более 300 тысяч долларов со своего публичного адреса ENS Ким Санману, который находится в санкционном списке OFAC.
Фальшивое имя: Гэри Ли Псевдоним: Лайт… https://t.co/2PlGnpYBFi pic.twitter.com/K1Xnd4oPSY
— ZachXBT (@zachxbt) 15 июля 2024
Цифровой след Лайта Фьюри включает учетную запись на GitHub, которая показывает его как старшего инженера по смарт-контрактам, который только в 2024 году внес более 120 вкладов в различные проекты.
Случай 2: взлом Munchables
Взлом Munchables в марте 2024 года служит еще одним примером, демонстрирующим важность тщательной проверки ключевых должностей в криптопроектах.
Этот инцидент был связан с наймом четырех разработчиков, предположительно, одного и того же человека из Северной Кореи, которым было поручено создать смарт-контракты проекта.
Поддельная команда была связана со взломом проекта GameFi стоимостью 62,5 миллиона долларов, размещенного в сети Blast layer-2.
Пример 2: Четверо других ИТ-работников КНДР, которые были в команде Munchables и участвовали во взломе на сумму 62,5 млн долларов https://t.co/NqoHZwiSkT
— ZachXBT (@zachxbt) 15 июля 2024
Оперативники с такими именами пользователей GitHub, как NelsonMurua913, Werewolves0493, BrightDragon0719 и Super1114, по-видимому, продемонстрировали скоординированные усилия, рекомендуя друг другу работу, переводя платежи на одни и те же адреса обмена депозитами и пополняя кошельки друг друга.
Кроме того, ZachXBT заявила, что они часто использовали похожие платежные адреса и адреса обменных депозитов, что указывает на тесную связь.
Кража произошла из-за того, что Munchables изначально использовали обновляемый прокси-контракт, который контролировался подозреваемыми северокорейцами, которые внедрились в команду, а не сам контракт Munchables.
Эта настройка предоставила злоумышленникам значительный контроль над смарт-контрактом проекта. Они использовали этот контроль для манипулирования смарт-контрактом, чтобы назначить себе баланс в размере 1 миллиона Ethereum.
Хотя позже контракт был обновлен до более безопасной версии, ячейки для хранения, которыми манипулировали предполагаемые северокорейские оперативники, остались неизменными.
Сообщается, что они подождали, пока в контракте будет внесено достаточно ETH, чтобы их атака оправдала себя. Когда пришло время, они перевели ETH на свои кошельки на сумму около 62,5 миллионов долларов.
К счастью, у истории был счастливый конец. После того, как расследование выявило роль бывших разработчиков во взломе, остальная часть команды Munchables провела с ними интенсивные переговоры, после которых злоумышленники согласились вернуть украденные средства.
Вкладчики Blast core получили 97 миллионов долларов в виде мультиподписи. На заднем плане ситуация невероятно улучшилась, но я благодарен, что бывший разработчик munchables в конце концов решил вернуть все средства без какого-либо выкупа. @_munchables_ и интегрирующиеся с ним протоколы, такие как @juice_finance…
— Pacman | Blur + Blast (@PacmanBlur) 27 марта 2024
Пример 3: враждебные атаки руководства Holy Pengy
Атаки на управление также были тактикой, используемой этими фальшивыми соискателями. Одним из таких предполагаемых исполнителей является Holy Pengy. ZachXBT утверждает, что это имя является псевдонимом Алекса Чона, агента, связанного с КНДР.
Когда член сообщества предупредил пользователей об атаке на управление казначейством Indexed Finance, в котором хранилось 36 000 долларов в DAI и около 48 000 долларов в NDX, ZachXBT связал атаку с Chon.
On-chain - вот где все становится интересным.
Человек, стоящий за атакой Indexed Finance governance, также предпринял попытку такой атаки на @relevantfeed через 0x9b9 ранее в этом месяце.
0x9b9 финансировался Алексом Чоном, предполагаемым ИТ-работником из КНДР, который был уволен как минимум с 2 должностей за подозрительные… https://t.co/vXYAmzPxnn pic.twitter.com/nXoVDaWYvZ
— ZachXBT (@zachxbt) 18 ноября 2023
По словам сетевого исследователя, Чон, в профиле которого на GitHub изображен пухлый аватар Penguins, регулярно менял свое имя пользователя и, как сообщается, был уволен как минимум с двух разных должностей за подозрительное поведение.
В более раннем сообщении ZachXBT Чон под псевдонимом Pengy описал себя как старшего инженера полного стека, специализирующегося на интерфейсе и solidity. Он заявил, что заинтересован в проекте ZachXBT и хочет присоединиться к его команде.
Адрес, связанный с ним, был идентифицирован как стоящий как за атакой Indexed Finance governance, так и за более ранней атакой на Relevant, платформу для обмена новостями и обсуждения web3.
Случай 4: Подозрительная активность в Starlay Finance
В феврале 2024 года Starlay Finance столкнулась с серьезным нарушением безопасности, повлиявшим на ее пул ликвидности в сети Acala. Этот инцидент привел к несанкционированному выводу средств, что вызвало серьезную озабоченность в криптосообществе.
Кредитная платформа объяснила нарушение “ненормальным поведением” в своем индексе ликвидности.
Однако после эксплойта криптоаналитик, использующий X handle @McBiblets, выразил обеспокоенность по поводу команды разработчиков Starlay Finance.
Как видно из приведенной выше темы X, McBiblets был особенно обеспокоен двумя людьми, “Дэвидом” и “Кевином”. Аналитик обнаружил необычные закономерности в их деятельности и вкладе в GitHub проекта.
По их словам, Дэвид, использующий псевдоним Wolfwarrier14, и Кевин, идентифицированный как devstar, похоже, обменивались ссылками с другими аккаунтами на GitHub, такими как silverstargh и TopDevBeast53.
Таким образом, McBiblets пришел к выводу, что эти сходства в сочетании с предупреждениями Министерства финансов о сотрудниках, связанных с КНДР, наводят на мысль, что работа в Starley Finance могла быть скоординированной работой небольшой группы связанных с Северной Кореей злоумышленников для использования криптопроекта.
Последствия для блокчейна и сектора web3
Кажущееся распространение подозреваемых агентов КНДР на ключевых должностях создает значительные риски для блокчейна и сектора web3. Эти риски не только финансовые, но также связаны с потенциальной утечкой данных, кражей интеллектуальной собственности и саботажем.
Например, оперативники потенциально могут внедрять вредоносный код в блокчейн-проекты, ставя под угрозу безопасность и функциональность целых сетей.
Криптокомпании теперь сталкиваются с проблемой восстановления доверия к своим процессам найма. Финансовые последствия также серьезны: проекты могут потерять миллионы из-за мошеннических действий.
Более того, правительство США указало, что средства, направляемые через эти операции, часто в конечном итоге поддерживают ядерные амбиции Северной Кореи, еще больше усложняя геополитический ландшафт.
По этой причине сообщество должно уделять приоритетное внимание строгим процессам проверки и более эффективным мерам безопасности для защиты от такой обманчивой тактики поиска работы.
Важно усилить бдительность и сотрудничество во всем секторе, чтобы пресечь эти вредоносные действия и защитить целостность растущей блокчейн- и криптоэкосистемы.
Комментарии
Комментарии для сайта Cackle
Интересно? Поделись с друзьями!