La Amenaza de los Atacantes Norcoreanos en la Industria Cripto
Cada día, Binance recibe una gran cantidad de currículos falsos que, según el director de seguridad de la criptobolsa, Jimmy Su, son escritos por posibles atacantes norcoreanos. En su opinión, los actores estatales de Corea del Norte representan la mayor amenaza que enfrentan las empresas de la industria cripto en la actualidad.
Estrategias de Ataque Mejoradas
Su explicó que los atacantes norcoreanos han sido un problema constante a lo largo de los ocho años de existencia de la bolsa, pero recientemente han mejorado su estrategia en lo que respecta a las criptomonedas.
«El mayor vector de ataque actualmente contra la industria cripto son los actores estatales, particularmente de la DPRK, [con] Lazarus,»
dijo Su a Decrypt, añadiendo que
«han centrado su enfoque en criptomonedas en los últimos dos o tres años y han tenido bastante éxito en sus esfuerzos.»
Agregó que
«casi todos los grandes hackeos de la DPRK»
han involucrado a un empleado falso que facilita el ataque. La República Popular Democrática de Corea, también conocida como DPRK o Corea del Norte, alberga al Grupo Lazarus, uno de los clanes de hackers más prolíficos del mundo. Se cree que el grupo fue responsable del infame hackeo de Bybit de 1.4 mil millones de dólares en marzo, el mayor hackeo en la historia de las criptomonedas, según el FBI.
Detección de Currículos Falsos
Su mencionó que Binance ha notado principalmente a atacantes norcoreanos intentando ser contratados en la firma. La bolsa centralizada afirma descartar currículos a diario, basándose en su tendencia a utilizar ciertos formatos. La empresa no estaba dispuesta a compartir más detalles sobre las señales de alerta en los currículos con Decrypt.
Si esos currículos logran pasar la verificación inicial, la empresa debe comprobar que el solicitante es legítimo en una videollamada, un desafío que se vuelve cada vez más difícil con el auge de la inteligencia artificial.
«Nuestro seguimiento solía mostrar que el actor, el operativo, tendría un currículo, y casi siempre tienen un apellido japonés o chino,»
explicó Su.
«Pero ahora, con la inteligencia artificial y los avances en este campo, pueden falsificar para parecer cualquier tipo de desarrollador. Más recientemente, los hemos visto como candidatos de Europa y del Medio Oriente. Lo que hacen es usar un cambiador de voz durante sus entrevistas, y el video puede ser un deepfake.»
«La única buena detección real es que casi siempre tienen una conexión a internet lenta,» agregó.
«Lo que sucede es que la traducción y el cambiador de voz están funcionando durante la llamada, por eso siempre están retrasados.»
Monitoreo de Empleados y Métodos de Ataque
Hay otras formas en que Binance puede detectar a un solicitante norcoreano, como pedirles que se cubran la cara con la mano, lo que generalmente rompe el deepfake, pero Binance no quiere revelar todos sus trucos por miedo a que los atacantes puedan estar leyendo este artículo. Otros empleadores han sido conocidos por pedir a los candidatos que digan algo negativo sobre el líder supremo norcoreano Kim Jong Un, lo que se cree que está prohibido en el país, y han reportado resultados positivos.
Binance afirma nunca haber contratado a un actor estatal; sin embargo, no pueden estar completamente seguros. Como resultado, incluso monitorean a sus empleados actuales por comportamientos sospechosos, algo que todas las instituciones financieras hacen hasta cierto punto. Irónicamente, según la investigación de Su, los empleados de la DPRK suelen estar entre los mejores desempeños de la empresa en su rol, probablemente porque puede haber múltiples personas haciendo el mismo trabajo en diferentes zonas horarias, explicó.
Así que Binance rastrea cuándo trabajan los empleados, junto con su producción. Si un trabajador parece no dormir nunca, podría ser una señal de que forma parte del infame Grupo Lazarus.
Otros Métodos de Ataque
Hay otros dos modos de ataque frecuentes empleados por los actores estatales norcoreanos, dijo Su. Uno implica envenenar bibliotecas públicas de NPM con código malicioso, mientras que el otro consiste en que el estado rebelde hace ofertas de trabajo falsas a empleados de criptomonedas. Las bibliotecas de Node Package Manager (NPM) son colecciones de código reutilizable que los desarrolladores utilizan con frecuencia. Los atacantes maliciosos pueden duplicar estos paquetes e insertar una pequeña línea de código que podría tener graves consecuencias, todo mientras mantienen su función original.
Para evitar que esto se convierta en un problema, Binance tiene que revisar el código con un peine de dientes finos. Las principales bolsas de criptomonedas también comparten inteligencia relacionada con la seguridad en grupos de Telegram y Signal, lo que significa que pueden señalar bibliotecas envenenadas y técnicas emergentes de la DPRK a sus pares.
«El grupo de la DPRK también intentará programar llamadas con los empleados de cara al público,»
dijo Su a Decrypt.
«Ya sea como un proyecto DeFi o una firma de inversión. Peor aún, estarán reclutándolos para un trabajo de alto nivel, pagando el doble o el triple, solo para conseguir que asistan a una entrevista.»
Durante la entrevista falsa, explicó Su, los hackers norcoreanos afirmarán que la llamada tiene «algún tipo de problemas de video o voz,» antes de enviar a la víctima un enlace para actualizar su Zoom. Luego, dijo, su dispositivo se infecta con malware.
Conclusiones sobre la Amenaza Norcoreana
Binance ha entrenado a sus empleados para reportar cada intento de phishing que se les haga. Por la frecuencia de estos informes, Su está seguro de que los atacantes de la DPRK están enviando mensajes a los empleados de Binance en LinkedIn todos los días. Los hackers norcoreanos robaron 1.34 mil millones de dólares en 47 incidentes relacionados con criptomonedas el año pasado, reveló un informe de Chainalysis. Desde entonces, los ataques de la DPRK han persistido, con el Director de Inteligencia de Amenazas Estratégicas de Wiz estimando que 1.6 mil millones de dólares en criptomonedas han sido robados hasta ahora este año a través de ofertas de trabajo falsas en TI.
«El Grupo Lazarus siempre ha sido un problema,»
dijo Su a Decrypt.
«Pero en los últimos dos o tres años, han cambiado su enfoque, dirigiendo más de sus recursos hacia las criptomonedas, solo por la gran cantidad de dólares en la industria.»
