Bedrohung durch nordkoreanische Angreifer
Jeden Tag wird Binance mit gefälschten Lebensläufen überflutet, die vermutlich von potenziellen nordkoreanischen Angreifern verfasst wurden, erklärte der Chief Security Officer von Binance, Jimmy Su, gegenüber Decrypt. Seiner Meinung nach stellen staatliche Akteure aus Nordkorea die größte Bedrohung für Unternehmen in der Kryptoindustrie dar.
Intensivierung der Angriffe
Su erläuterte, dass nordkoreanische Angreifer seit der Gründung der Börse vor acht Jahren ein Problem darstellen, jedoch in letzter Zeit ihre Aktivitäten im Bereich Krypto intensiviert haben. „Der größte Vektor gegen die Kryptoindustrie sind derzeit staatliche Akteure, insbesondere aus der DVRK, [mit] Lazarus“, sagte Su und fügte hinzu: „In den letzten zwei bis drei Jahren haben sie ihren Fokus auf Krypto gelegt und waren in ihren Bestrebungen ziemlich erfolgreich.“
Gefälschte Lebensläufe und Deepfakes
Er betonte, dass fast alle großen DVRK-Hacks einen gefälschten Mitarbeiter beinhalteten, der half, den Angriff zu erleichtern. Die Demokratische Volksrepublik Korea, auch bekannt als DVRK oder Nordkorea, ist die Heimat der Lazarus-Gruppe, einer der produktivsten Hacker-Clans weltweit. Der Gruppe wird die Verantwortung für den berüchtigten Bybit-Hack in Höhe von 1,4 Milliarden Dollar im März zugeschrieben – dem größten Hack in der Krypto-Geschichte, laut dem FBI.
Su berichtete, dass Binance hauptsächlich nordkoreanische Angreifer bemerkt hat, die versuchen, bei der Firma eingestellt zu werden. Die zentrale Börse gibt an, täglich Lebensläufe zu entsorgen, basierend auf der Neigung, bestimmte Lebenslaufvorlagen zu verwenden. Das Unternehmen war jedoch nicht bereit, weitere Einzelheiten zu den Warnsignalen bei Lebensläufen mit Decrypt zu teilen.
Herausforderungen bei der Überprüfung von Bewerbern
Wenn diese Lebensläufe den ersten Eindruckstest bestehen, muss das Unternehmen überprüfen, ob der Bewerber in einem Videoanruf legitim ist – eine Herausforderung, die mit dem Aufstieg von KI immer schwieriger wird. „Unsere Nachverfolgung zeigte früher, dass der operative Mitarbeiter einen Lebenslauf hat, und sie haben meistens entweder einen japanischen oder chinesischen Nachnamen“, erklärte Su. „Aber jetzt, mit KI und den Entwicklungen in der KI, können sie sich als jede Art von Entwickler ausgeben. In letzter Zeit haben wir gesehen, dass sie Kandidaten aus Europa und dem Nahen Osten sind. Was sie tun, ist, dass sie während ihrer Interviews tatsächlich einen Stimmenverzerrer verwenden, und das Video war ein Deepfake.“
„Die einzige wirklich gute Erkennung ist, dass sie fast immer eine langsame Internetverbindung haben“, fügte er hinzu. „Was passiert, ist, dass die Übersetzung und der Stimmenverzerrer während des Anrufs arbeiten … deshalb sind sie immer verzögert.“
Erkennungsmethoden und Sicherheitsmaßnahmen
Es gibt weitere Möglichkeiten, wie Binance einen nordkoreanischen Bewerber erkennen kann – zum Beispiel indem sie ihn bitten, seine Hand über sein Gesicht zu halten, was normalerweise den Deepfake entlarvt – aber Binance möchte nicht alle ihre Tricks offenbaren, aus Angst, dass Angreifer diesen Artikel lesen könnten. Andere Arbeitgeber haben bekanntlich Kandidaten gebeten, etwas Negatives über den nordkoreanischen Obersten Führer Kim Jong Un zu sagen, was im Land als verboten gilt, und haben positive Ergebnisse gemeldet.
Binance behauptet, noch nie einen staatlichen Akteur eingestellt zu haben; sie können sich jedoch nicht zu 100 % sicher sein. Daher überwachen sie sogar ihre aktuellen Mitarbeiter auf verdächtiges Verhalten – etwas, das alle Finanzinstitute in gewissem Maße tun. Ironischerweise sind laut Sus Forschung die DVRK-Mitarbeiter normalerweise unter den besten Leistungsträgern des Unternehmens in ihrer jeweiligen Rolle.
Angriffsmodi und Sicherheitsstrategien
Es gibt zwei weitere häufige Angriffsmodi, die von nordkoreanischen staatlichen Akteuren eingesetzt werden, sagte Su. Einer davon besteht darin, öffentliche NPM-Bibliotheken mit bösartigem Code zu vergiften, während der andere darin besteht, dass der rogue Staat gefälschte Stellenangebote an Krypto-Mitarbeiter macht. Bösartige Angreifer können diese Pakete duplizieren und eine kleine Codezeile einfügen, die schwerwiegende Folgen haben könnte – und das alles, während die ursprüngliche Funktion erhalten bleibt.
Um zu verhindern, dass dies ein Problem wird, muss Binance den Code mit einer Lupe durchgehen. Große Krypto-Börsen teilen auch Informationen zu Sicherheitsfragen in Telegram– und Signal-Gruppen – was bedeutet, dass sie vergiftete Bibliotheken und aufkommende DVRK-Techniken bei ihren Kollegen kennzeichnen können.
„Die DVRK-Gruppe wird [auch] versuchen, Anrufe mit externen Mitarbeitern zu planen“, sagte Su gegenüber Decrypt. „Entweder als DeFi-Projekt oder Investmentfirma. Schlimmstenfalls werden sie sie für einen hochrangigen Job rekrutieren, der doppelt oder dreimal so viel bezahlt, nur um sie zu einem Interview zu bekommen.“
Während des gefälschten Interviews, erklärte Su, werden die DVRK-Hacker behaupten, dass der Anruf „irgendwelche Video- oder Sprachprobleme“ hat, bevor sie dem Opfer einen Link senden, um ihr Zoom zu aktualisieren. Dann, sagte er, wird ihr Gerät mit Malware infiziert.
Schlussfolgerung
Binance hat seine Mitarbeiter geschult, jeden Phishing-Versuch, der gegen sie unternommen wird, zu melden. Anhand der Häufigkeit dieser Berichte ist Su zuversichtlich, dass DVRK-Angreifer täglich Binance-Mitarbeiter über LinkedIn kontaktieren. Nordkoreanische Hacker stahlen im letzten Jahr 1,34 Milliarden Dollar in 47 krypto-bezogenen Vorfällen, wie ein Bericht von Chainalysis enthüllte. Seitdem haben die DVRK-Angriffe angehalten, wobei der Direktor für strategische Bedrohungsintelligenz von Wiz schätzt, dass in diesem Jahr bisher 1,6 Milliarden Dollar in Krypto über gefälschte IT-Stellenangebote gestohlen wurden.
„Die Lazarus-Gruppe war schon immer ein Problem“, sagte Su gegenüber Decrypt. „Aber in den letzten zwei bis drei Jahren haben sie ihren Fokus gewechselt und mehr ihrer Ressourcen auf Krypto gelegt. Nur wegen des [hohen] Dollarbetrags der Branche.“
