Minacce alla Sicurezza nel Settore Crypto
Ogni giorno, Binance è sommersa da falsi curriculum che si sospetta siano stati redatti da presunti attaccanti nordcoreani, ha dichiarato il Chief Security Officer della crypto exchange, Jimmy Su, a Decrypt. Secondo lui, gli attori statali della Corea del Nord rappresentano la più grande minaccia per le aziende dell’industria crypto oggi.
Attacchi e Tecniche degli Attaccanti Nordcoreani
Su ha spiegato che gli attaccanti nordcoreani sono stati un problema durante i suoi otto anni di esistenza dell’exchange, ma recentemente hanno alzato il livello delle loro operazioni nel settore delle criptovalute. “Il vettore di attacco più significativo attualmente contro l’industria crypto sono gli attori statali, in particolare quelli della DPRK, [con] il gruppo Lazarus,” ha affermato Su a Decrypt, aggiungendo che “hanno concentrato i loro sforzi sulla crypto negli ultimi due o tre anni e sono stati piuttosto efficaci.”
Ha aggiunto che “quasi tutti i grandi attacchi della DPRK” hanno coinvolto un falso dipendente che ha facilitato l’attacco. La Repubblica Popolare Democratica di Corea, nota anche come DPRK o Corea del Nord, è la patria del Lazarus Group, uno dei clan di hacker più prolifici al mondo. Si ritiene che il gruppo sia stato responsabile dell’infame hack di Bybit da 1,4 miliardi di dollari a marzo, il più grande hack nella storia delle criptovalute, secondo l’FBI.
Rilevazione di Attaccanti
Su ha detto che Binance ha principalmente notato attaccanti nordcoreani che tentano di essere assunti presso l’azienda. L’exchange centralizzato afferma di scartare curriculum ogni giorno, in base alla loro tendenza a utilizzare determinati modelli di curriculum. L’azienda non era disposta a condividere ulteriori dettagli sui segnali di allerta dei curriculum con Decrypt.
Se quei curriculum superano il primo controllo, l’azienda deve poi verificare che il candidato sia legittimo in una videochiamata, una sfida che sta diventando sempre più difficile con l’aumento dell’AI. “Il nostro tracciamento mostrava che l’attore, l’operativo, avrà un curriculum, e di solito ha un cognome giapponese o cinese,” ha spiegato Su. “Ma ora, con l’AI e gli sviluppi in questo campo, sono in grado di fingersi qualsiasi tipo di sviluppatore. Più recentemente, li abbiamo visti come candidati dall’Europa e dal Medio Oriente. Quello che fanno è utilizzare un cambiavalute vocale durante le loro interviste, e il video era un deepfake.”
“L’unica vera buona rilevazione è che hanno quasi sempre una connessione internet lenta,” ha aggiunto. “Quello che succede è che la traduzione e il cambiavalute vocale funzionano durante la chiamata, ed è per questo che sono sempre in ritardo.”
Ci sono altri modi in cui Binance può rilevare un candidato nordcoreano, come chiedere loro di coprire il viso con la mano, il che di solito rompe il deepfake, ma Binance non vuole rivelare tutti i suoi trucchi per paura che gli attaccanti possano leggere questo articolo.
Comportamenti Sospetti e Monitoraggio
Altri datori di lavoro sono noti per chiedere ai candidati di esprimere un’opinione negativa sul leader supremo nordcoreano Kim Jong Un, cosa che si crede sia vietata nel paese, e hanno riportato risultati positivi. Binance afferma di non aver mai assunto un attore statale; tuttavia, non possono esserne completamente certi. Di conseguenza, monitorano anche i loro attuali dipendenti per comportamenti sospetti, un’azione che tutte le istituzioni finanziarie compiono in una certa misura.
Ironia della sorte, secondo la ricerca di Su, i dipendenti della DPRK sono solitamente tra i migliori performer dell’azienda nel ruolo assegnato. Questo è probabilmente dovuto al fatto che potrebbero esserci più persone che svolgono lo stesso lavoro in diversi fusi orari, ha spiegato. Così Binance tiene traccia di quando i dipendenti lavorano, insieme alla loro produttività. Se un lavoratore non sembra mai dormire, potrebbe essere un segnale che fa parte del famigerato Lazarus Group.
Altri Metodi di Attacco
Ci sono altri due frequenti metodi di attacco impiegati dagli attori statali nordcoreani, ha detto Su. Uno coinvolge il poisoning delle librerie NPM pubbliche con codice malevolo, mentre l’altro vede lo stato ribelle fare offerte di lavoro false a dipendenti nel settore crypto. Le librerie Node Package Manager (NPM), o pacchetti, sono collezioni di codice riutilizzabile che gli sviluppatori utilizzano frequentemente. Gli attaccanti malevoli possono duplicare questi pacchetti e inserire una piccola riga di codice che potrebbe avere gravi conseguenze, mantenendo comunque la loro funzione originale.
Se questo codice viene anche solo rilevato una volta, esso si incastrerà sempre più nel sistema man mano che gli sviluppatori costruiscono sopra di esso, ha detto Su. Per prevenire che questo diventi un problema, Binance deve esaminare il codice con un pettine a denti fini. Le principali crypto exchange condividono anche informazioni relative alla sicurezza in gruppi Telegram e Signal, il che significa che possono segnalare librerie avvelenate e tecniche emergenti della DPRK ai loro pari.
“Il gruppo DPRK cercherà anche di programmare chiamate con i dipendenti a contatto esterno,” ha detto Su a Decrypt. “O come progetto DeFi o come azienda di investimento. Peggio ancora, recluteranno per un lavoro di alto livello, pagando il doppio o il triplo, solo per farli partecipare a un colloquio.”
Durante il colloquio falso, ha spiegato Su, gli hacker della DPRK affermeranno che la chiamata ha “alcuni problemi di video o audio,” prima di inviare alla vittima un link per aggiornare il loro Zoom. Poi, ha detto, il loro dispositivo viene infettato da malware.
Conclusioni e Statistiche
Binance ha addestrato i suoi dipendenti a segnalare ogni tentativo di phishing nei loro confronti. Dalla frequenza di queste segnalazioni, Su è fiducioso che gli attaccanti della DPRK stiano contattando i dipendenti di Binance su LinkedIn ogni giorno. Gli hacker nordcoreani hanno rubato 1,34 miliardi di dollari in 47 incidenti legati alla crypto lo scorso anno, ha rivelato un rapporto di Chainalysis. Da allora, gli attacchi della DPRK sono continuati, con il Direttore della Strategic Threat Intelligence di Wiz che stima che 1,6 miliardi di dollari in crypto siano stati rubati finora quest’anno tramite offerte di lavoro IT false.
“Il Lazarus Group è sempre stato un problema,” ha detto Su a Decrypt. “Ma negli ultimi due o tre anni, hanno cambiato il loro focus, dedicando più risorse alla crypto, a causa dell’importo considerevole in dollari dell’industria.”
