Поддельные резюме и угроза от Северной Кореи
Каждый день Binance получает множество поддельных резюме, которые, по словам главного специалиста по безопасности криптобиржи Джимми Суа, написаны потенциальными северокорейскими злоумышленниками. Он считает, что государственные акторы из Северной Кореи представляют собой наибольшую угрозу для компаний в криптоиндустрии сегодня.
Улучшение навыков северокорейских хакеров
Су отметил, что северокорейские хакеры были проблемой на протяжении восьми лет существования биржи, но в последнее время значительно улучшили свои навыки в области криптовалют.
«Наибольшая угроза для криптоиндустрии в настоящее время исходит от государственных акторов, особенно из КНДР, включая группу Lazarus,»
— сказал Су в интервью Decrypt, добавив, что
«в последние два-три года они сосредоточились на криптовалюте и добились значительных успехов в своих начинаниях.»
Методы обнаружения подделок
Он также отметил, что «почти все крупные хакерские атаки из КНДР» были связаны с поддельным сотрудником, который помогал осуществить атаку. Демократическая Народная Республика Корея, также известная как КНДР или Северная Корея, является домом для группы Lazarus, одной из самых известных хакерских групп в мире. Считается, что эта группа несет ответственность за печально известный взлом Bybit на сумму 1,4 миллиарда долларов в марте — крупнейший взлом в истории криптовалют, согласно данным ФБР.
Су сообщил, что Binance в основном замечает, как северокорейские хакеры пытаются устроиться на работу в компанию. Централизованная биржа утверждает, что ежедневно отбрасывает резюме, основываясь на их склонности использовать определенные шаблоны. Компания не была готова поделиться более конкретной информацией о признаках подделки резюме с Decrypt.
Сложности видеозвонков
Если резюме проходит первоначальную проверку, компания должна убедиться, что кандидат является легитимным на видеозвонке — задача, которая становится все сложнее с ростом ИИ.
«Наши наблюдения показывают, что злоумышленник, оперативник, будет иметь резюме, и в основном у них либо японская, либо китайская фамилия,»
— объяснил Су.
«Но теперь, с развитием ИИ, они могут подделывать свое представление как любого разработчика. В последнее время мы видели их среди кандидатов из Европы и Ближнего Востока. Они используют изменитель голоса во время собеседований, а видео оказывается дипфейком.»
Способы обнаружения северокорейских кандидатов
«Единственный действительно надежный способ обнаружения заключается в том, что у них почти всегда медленное интернет-соединение,»
— добавил он.
«Что происходит, так это то, что перевод и изменитель голоса работают во время звонка, поэтому они всегда задерживаются.»
Существуют и другие способы, которыми Binance может обнаружить северокорейского кандидата — например, попросить их закрыть лицо рукой, что обычно разрушает дипфейк, но Binance не хочет раскрывать все свои приемы из-за опасений, что злоумышленники могут прочитать эту статью.
Наблюдение за сотрудниками
Другие работодатели известны тем, что просят кандидатов сказать что-то негативное о верховном лидере Северной Кореи Ким Чен Ыне, что, как считается, запрещено в стране, и сообщают о положительных результатах. Binance утверждает, что никогда не нанимала государственных акторов; однако они не могут быть в этом уверены. В результате они даже следят за своими текущими сотрудниками на предмет подозрительного поведения — чем занимаются все финансовые учреждения в той или иной степени.
Иронично, но согласно исследованиям Суа, сотрудники КНДР обычно входят в число лучших исполнителей компании в своей роли. Это, вероятно, связано с тем, что может быть несколько человек, выполняющих одну и ту же работу в разных часовых поясах, объяснил он. Поэтому Binance отслеживает, когда сотрудники работают, а также их производительность. Если работник, похоже, никогда не спит, это может быть признаком того, что он является частью печально известной группы Lazarus.
Методы атак северокорейских хакеров
Су также сообщил о двух других частых способах атаки, используемых государственными актерами Северной Кореи. Один из них включает в себя отравление публичных библиотек NPM вредоносным кодом, в то время как другой — создание поддельных предложений о работе для сотрудников криптоиндустрии. Библиотеки Node Package Manager (NPM), или пакеты, представляют собой коллекции повторно используемого кода, которые разработчики часто используют. Злоумышленники могут дублировать эти пакеты и вставлять небольшую строку кода, которая может иметь серьезные последствия, сохраняя при этом свою первоначальную функцию.
Если это будет обнаружено хотя бы один раз, вредоносный код будет внедряться все глубже в систему по мере того, как разработчики будут строить на его основе, сказал Су. Чтобы предотвратить это, Binance должна тщательно проверять код. Крупные криптобиржи также обмениваются разведывательной информацией, связанной с безопасностью, в группах Telegram и Signal — это означает, что они могут отмечать отравленные библиотеки и новые методы КНДР у своих коллег.
Поддельные собеседования и фишинг
«Группа КНДР также будет пытаться назначить звонки с внешними сотрудниками,»
— сказал Су Decrypt.
«Либо как проект DeFi, либо как инвестиционная компания. В худшем случае они будут нанимать их на высокую должность, платя в два-три раза больше, просто чтобы получить их на собеседование.»
Во время поддельного собеседования, объяснил Су, северокорейские хакеры будут утверждать, что у звонка «какие-то проблемы с видео или голосом,» прежде чем отправить жертве ссылку для обновления их Zoom. Затем, по его словам, их устройство заражается вредоносным ПО.
Binance обучила своих сотрудников сообщать о каждой попытке фишинга, сделанной против них. По частоте этих отчетов Су уверен, что северокорейские злоумышленники ежедневно отправляют сообщения сотрудникам Binance в LinkedIn.
Статистика кибератак
Северокорейские хакеры украли 1,34 миллиарда долларов в 47 инцидентах, связанных с криптовалютами, в прошлом году, согласно отчету Chainalysis. С тех пор атаки КНДР продолжаются, и директор по стратегической разведке угроз Wiz оценивает, что в этом году было украдено 1,6 миллиарда долларов в криптовалюте через поддельные предложения о работе в IT.
«Группа Lazarus всегда была проблемой,»
— сказал Су Decrypt.
«Но в последние два-три года они переключили свое внимание, больше своих ресурсов на криптовалюту. Просто из-за большого объема долларов в этой индустрии.»
