Кража криптовалюты северокорейскими хакерами
Четыре гражданина Северной Кореи infilтировали блокчейн-стартап, базирующийся в Атланте, и украли почти 1 миллион долларов в криптовалюте, выдавая себя за удаленных разработчиков. Об этом сообщили федеральные прокуроры Северного округа Джорджии в понедельник, подробно описав обвинения в пяти пунктах, связанных с мошенничеством с использованием электронных средств и отмыванием денег.
Методы работы хакеров
Обвиняемые сначала работали в команде в ОАЭ, прежде чем infilтировать крипто-компании в США и Сербии в качестве удаленных IT-работников. Получив доверие, они украли 175 000 и 740 000 долларов в двух отдельных инцидентах в 2022 году, отмывая средства через миксеры и биржи, используя поддельные удостоверения личности.
«Северокорейские IT-работники действовали, встраиваясь в эти организации, чтобы собирать разведывательную информацию, манипулировать протоколами безопасности и даже способствовать внутренним нарушениям», — сказал Эндрю Фирман, глава национальной безопасности в аналитической компании Chainalysis, в интервью Decrypt.
Якобы украденная криптовалюта исчезла через лабиринт транзакций, предназначенных для сокрытия ее происхождения — сложная схема, которую Северная Корея отточила за годы киберпреступной деятельности. DOJ не сразу ответил на запрос Decrypt о комментарии.
Шаблон киберпреступлений
Эти тактики формируют «шаблон, который все чаще становится стандартной операционной процедурой», — отметил Фирман. Угрожающее лицо нанимается, используя «поддельные документы» и «маскируя свою северокорейскую связь», объяснил он. Кроме того, что они отправляют свою компенсацию «обратно в режим», работники также «терпеливо ждут возможности получить доступ к средствам компании Web3», в которую они infiltrировали, чтобы украсть больше, добавил Фирман.
Уязвимость удаленной работы
Схема выявляет уязвимость в удаленной культуре криптовалют, где компании, нанимающие глобально, могут пропускать проверки биографии, позволяя государственным актерам с поддельными идентичностями использовать пробелы. «К сожалению, многие команды избегают личных встреч и предпочитают нанимать более ‘дешевых’ разработчиков, чем известных специалистов в нашем секторе», — сказал Владимир Соболев, исследователь угроз в компании по безопасности блокчейна Hexens, в интервью Decrypt.
«Это основная проблема. Описывая кибероперации Северной Кореи как ‘долгосрочное начинание’, Соболев отмечает, что страна занимается этими действиями уже долгое время, даже ‘до популярности блокчейна и Web3’.
Правоприменительные меры
В начале этого месяца федеральные прокуроры подробно описали в гражданском иске, как «десятки миллионов были использованы в более крупной схеме криптоработников IT Северной Кореи», — сказал Фирман, делясь документами, рассмотренными Decrypt. В отдельном пресс-релизе DOJ заявило, что провело согласованные рейды по 16 штатам, изъяв 29 финансовых счетов, 21 мошеннический веб-сайт и примерно 200 компьютеров из «ферм ноутбуков», поддерживающих схемы IT Северной Кореи, включая упомянутых четырех.
Принятые меры правоприменения показали, как северокорейские агенты использовали эти фермы ноутбуков в качестве удаленных точек доступа, позволяя операторам изменять смарт-контракты и выводить криптовалютные средства, при этом казалось, что они работают из США.
«Способность организаций распознавать эти угрозы и защищать свою компанию от них будет критически важной», — предостерег Фирман.
Отредактировано Себастьяном Синклером.
