Infiltrazione di una Startup Blockchain da Parte di Cittadini Nordcoreani
Quattro cittadini nordcoreani sono stati accusati di aver infiltrato una startup blockchain con sede ad Atlanta, rubando quasi 1 milione di dollari in criptovalute spacciandosi per sviluppatori remoti. Lunedì, i pubblici ministeri federali del Distretto Settentrionale della Georgia hanno reso note le accuse, che comprendono una denuncia per frodi telematiche e riciclaggio di denaro, articolata in cinque capi d’accusa.
Operazioni e Metodi degli Imputati
Gli imputati hanno inizialmente operato come un team negli Emirati Arabi Uniti prima di infiltrarsi in aziende crypto statunitensi e serbe come lavoratori IT remoti. Dopo aver guadagnato la fiducia delle aziende, hanno rubato 175.000 dollari e 740.000 dollari in due incidenti separati nel 2022, riciclando i fondi attraverso mixer e exchange utilizzando documenti di identificazione falsi.
Soprannominati “lavoratori IT nordcoreani”, i presunti autori operano “infiltrandosi all’interno di queste organizzazioni” per “raccogliere informazioni, manipolare i protocolli di sicurezza e persino facilitare violazioni interne”, ha dichiarato Andrew Fierman, capo della sicurezza nazionale presso la società di analisi blockchain Chainalysis, a Decrypt.
Le criptovalute rubate sono scomparse attraverso un labirinto di transazioni progettate per oscurarne l’origine, un sofisticato metodo che la Corea del Nord ha perfezionato nel corso degli anni di operazioni cybercriminali. Il DOJ non ha immediatamente risposto alla richiesta di commento di Decrypt.
Un Modello di Operazione Sempre Più Comune
Queste tattiche formano “un modello che è diventato sempre più una prassi standard”, ha affermato Fierman. Gli attori della minaccia vengono assunti utilizzando documentazione falsificata e mascherando il loro legame nordcoreano, ha spiegato Fierman. Oltre a inviare la loro compensazione “indietro al regime”, i lavoratori “aspettano pazientemente l’opportunità di accedere ai fondi dell’azienda Web3 che hanno infiltrato” per rubare di più.
Questo schema mette in luce una vulnerabilità nella cultura del lavoro remoto nel settore crypto, dove le aziende che assumono a livello globale possono trascurare i controlli sui precedenti, consentendo ad attori sponsorizzati dallo stato con identità false di sfruttare le lacune.
“Sfortunatamente, molti team evitano incontri di persona e preferiscono assumere sviluppatori più ‘economici’ piuttosto che persone ben note nel nostro settore”, ha dichiarato Vladimir Sobolev, ricercatore di minacce presso la società di sicurezza blockchain Hexens, a Decrypt. “Questo è un problema fondamentale.”
Implicazioni e Azioni Legali
Descrivendo le operazioni informatiche della Corea del Nord come un “impegno a lungo termine”, Sobolev osserva che il paese è impegnato in queste attività da molto tempo, anche “prima della popolarità della blockchain e del Web3.” All’inizio di questo mese, i pubblici ministeri federali hanno dettagliato in una causa civile come “decine di milioni siano stati sfruttati in un più ampio schema di lavoratori IT nordcoreani nel crypto”, ha affermato Fierman, condividendo documenti esaminati da Decrypt.
In un comunicato stampa separato, il DOJ ha dichiarato di aver condotto raid coordinati in 16 stati, sequestrando 29 conti finanziari, 21 siti web fraudolenti e circa 200 computer da “fattorie di laptop” che supportano schemi IT nordcoreani, inclusi i quattro sopra menzionati.
Le azioni di enforcement hanno rivelato come gli agenti nordcoreani utilizzassero queste fattorie di laptop come punti di accesso remoto, consentendo agli operatori di modificare contratti intelligenti e drenare fondi crypto mentre apparivano di lavorare da sedi statunitensi.
“La capacità delle organizzazioni di riconoscere queste minacce e proteggere la propria azienda contro di esse sarà fondamentale”, ha avvertito Fierman.
Modificato da Sebastian Sinclair
