Trusselen fra Nord-Korea mot kryptovaluta
Hver dag blir Binance oversvømmet av falske CV-er som de er sikre på er skrevet av potensielle nordkoreanske angripere, fortalte kryptobørsens sikkerhetssjef, Jimmy Su, til Decrypt. I hans øyne er statlige aktører fra Nord-Korea den største trusselen mot selskaper i kryptobransjen i dag.
Nordkoreanske angripere og deres metoder
Su forklarte at nordkoreanske angripere har vært et problem gjennom børsens åtteårige eksistens, men nylig har hackerne hevet nivået når det gjelder kryptovaluta. «Den største trusselen mot kryptobransjen i dag er statlige aktører, spesielt fra DPRK, [med] Lazarus,» sa Su til Decrypt, og la til at, «De har hatt et kryptofokus de siste to-tre årene og har vært ganske vellykkede i sine bestrebelser.»
«Nesten alle de store DPRK-hackene har involvert en falsk ansatt som har hjulpet til med å legge til rette for angrepet.»
Den Demokratiske Folkerepublikken Korea, også kjent som DPRK eller Nord-Korea, er hjemmet til Lazarus-gruppen, en av de mest produktive hackerklanene i verden. Gruppen antas å ha vært ansvarlig for det beryktede Bybit-hacket på 1,4 milliarder dollar i mars – det største hacket i kryptohistorien, ifølge FBI.
Oppdagelse av falske søkere
Su sa at Binance for det meste har lagt merke til nordkoreanske angripere som prøver å bli ansatt i selskapet. Den sentraliserte børsen hevder å kaste CV-er daglig, basert på deres tendens til å bruke bestemte CV-maler. Selskapet var ikke villig til å dele flere spesifikasjoner om røde flagg i CV-ene med Decrypt.
Hvis disse CV-ene klarer den første vurderingen, må selskapet deretter sjekke at søkeren er legitim på en videosamtale – en utfordring som bare blir vanskeligere med fremveksten av AI. «Vår sporing pleide å [vise] at aktøren, operatøren, ville ha en CV, og de har stort sett enten et japansk eller kinesisk etternavn,» forklarte Su. «Men nå, med AI og hendelser innen AI, er de i stand til å late som de er enhver slags utvikler.»
«Den eneste virkelig gode oppdagelsen er at de nesten alltid har en treg internettforbindelse.»
Det finnes andre måter Binance kan oppdage en nordkoreansk søker på – som å be dem om å holde hånden over ansiktet, noe som vanligvis bryter deepfaken – men Binance ønsker ikke å avsløre alle sine triks av frykt for at angriperne kan lese denne artikkelen.
Angrepsmetoder og forebygging
Det er to andre hyppige angrepsmetoder som brukes av nordkoreanske statlige aktører, sa Su. Den ene involverer å forgifte offentlige NPM-biblioteker med ondsinnet kode, mens den andre ser den rogue staten lage falske jobbtilbud til kryptovaluta-ansatte. Ondsinnede angripere kan duplisere disse pakkene og sette inn en liten linje med kode som kan ha alvorlige konsekvenser.
For å forhindre at dette blir et problem, må Binance gå gjennom koden med en fin kam. Store kryptobørser deler også etterretning relatert til sikkerhet i Telegram- og Signal-grupper – noe som betyr at de kan flagge forgiftede biblioteker og nye DPRK-teknikker med sine kolleger.
«DPRK-gruppen vil [også] prøve å planlegge samtaler med de eksternt ansatte.»
Under det falske intervjuet, forklarte Su, vil DPRK-hackerne hevde at samtalen har «noen slags video- eller stemmeproblemer,» før de sender offeret en lenke for å oppdatere Zoom. Deretter, sa han, blir enheten deres infisert med skadelig programvare.
Konklusjon
Nordkoreanske hackere stjal 1,34 milliarder dollar over 47 kryptorelaterte hendelser i fjor, avslørte en Chainalysis-rapport. Siden den gang har DPRK-angrepene fortsatt, med Wizs direktør for strategisk trusselintelligens som anslår at 1,6 milliarder dollar i kryptovaluta har blitt stjålet så langt i år via falske IT-jobbtilbud.
«Lazarus-gruppen har alltid vært et problem, men de siste to-tre årene har de skiftet fokus, mer av ressursene sine mot kryptovaluta.»
