Хакерская игра в прятки: северокорейский специалист пойман на обмане в криптомире

Неизвестный злоумышленник получил доступ к аккаунту IT-специалиста из Северной Кореи, который входил в небольшую хакерскую группировку, причастную к краже 680 000 долларов. Об этом сообщил блокчейн-расследователь ZachXBT.

Шесть граждан КНДР создали более 30 фиктивных профилей, чтобы устроиться на работу в криптопроекты. Они использовали поддельные документы и аккаунты на таких платформах, как LinkedIn и Upwork, выдавая себя за опытных разработчиков блокчейна. Один из них даже прошел собеседование в Polygon Labs на должность фулл-стек инженера, удостоившись рекомендаций о своем опыте в OpenSea и Chainlink.

«Мой опыт в блокчейн-разработке составляет более семи лет, включая время учёбы, хотя на официальной работе я нахожусь около пяти лет. За это время я создавал системы смарт-контрактов, децентрализованные приложения и Web3-платформы, среди которых работы для OpenSea, Chainlink Labs и GreenBay», — гласит текст, используемый для создания фальшивой личности Генри Чана.

Злоумышленники использовали программное обеспечение для удаленного доступа AnyDesk, а их местоположение скрывалось с помощью VPN. Для планирования задач и общения они применяли сервисы Google. В мае относительные расходы преступников составили 1489 долларов, что включало аренду компьютеров и подписки на программное обеспечение.

Киберпреступники осуществляли транзакции через систему Payoneer, один из кошельков был связан с группировкой, которая участвовала в атаке на маркетплейс Favrr в июне, в результате которой было украдено 680 000 долларов.

В запросах, к которым удалось получить доступ, отмечались вопросы о развертывании токенов ERC-20 на Solana и крупнейших ИИ-компаниях Европы, однако наиболее часто встречавшимся был вопрос: «Как узнать, что они являются северокорейцами?»

ZachXBT также отметил, что поиск показал активное использование Google Translate для перевода с корейского на английский, осуществляемое через российский IP.

Блокчейн-расследователь призвал криптокомпании более тщательно проверять кандидатов, отметив, что в подобных операциях нет ничего сложного. По его словам, проблемы возникают из-за перегруженности кадровых служб.

«Основная сложность в борьбе с IT-специалистами из Северной Кореи — это недостаток сотрудничества между государственными учреждениями и частным сектором. Также существует небрежность со стороны рекрутинговых команд, которые начинают спорить, когда получают предупреждения. Методы северокорейских IT-специалистов не слишком изощренные, но они настойчивы из-за массового присутствия на рынке труда», — подчеркнул он.

Главный директор по безопасности Binance, Джимми Су, рассказал изданию Decrypt, что биржа ежедневно сталкивается с поддельными резюме от северокорейских хакеров. По его словам, подобные случаи происходят на протяжении многих лет, но в последнее время методы злоумышленников стали более сложными.

Ранее они отправляли шаблонные ответы с японскими и китайскими именами. Теперь же киберпреступники используют дипфейки и голосовые модуляторы на собеседованиях, выдавая себя за разработчиков из Европы или Ближнего Востока.

Подозрение вызывают медленные соединения с интернетом, так как ответы злоумышленников приходят с задержками из-за работы переводчика и других программ.

«Единственный надежный способ проверить кандидата — это попросить его прикрыть лицо рукой. Глубокие фейки обычно “ломаются”, но мы не раскрываем все методы, чтобы не помогать хакерам», — добавил он.

Представитель Binance подтвердил, что биржа никогда не нанимала государственных представителей КНДР, однако продолжает внимательно следить за поведением сотрудников. Специалисты из Северной Кореи зачастую оказываются среди лучших сотрудников, вероятно, из-за работы в несколько смен. Если сотрудник не делает перерывов даже на сон, это может быть признаком его связи с группировкой Lazarus, отметил Су.

Он также сказал, что некоторые компании требуют от кандидатов выразить негативное мнение о лидере Северной Кореи Ким Чен Ыне, что запрещено в стране. Другие детали представитель Binance не раскрыл из соображений безопасности.

Кроме попыток устроиться на работу, группировка Lazarus также:

Напоминаем, что в феврале биржа Bybit понесла убытки на сумму 1,46 миллиарда долларов из-за хакерской атаки, за которую отвечала группировка Lazarus.

В июле пострадала индийская торговая площадка CoinDCX, потерявшая 44,2 миллиона долларов — атаку также приписали северокорейским хакерам.