Google Threat Intelligence Group (GTIG) opublikował raport, w którym stwierdzono, że pracownicy IT powiązani z Koreą Północną infiltrują projekty kryptowalutowe w Wielkiej Brytanii, Niemczech, Portugalii i Serbii. Osoby te podszywają się pod programistów zdalnych, a nawet pracują nad wieloma ważnymi projektami blockchainowymi, takimi jak Solana oraz Anchor/Rust.
Szczegóły dotyczące zagrożenia
GTIG odkrył projekty, które zostały zaatakowane, w tym rynek blockchain, aplikacje webowe AI oraz rozwój inteligentnych kontraktów na $SOL . Szczególnie zaangażowali się w projekt Nodexa - platformę hostingową tokenów wykorzystującą Next.js i CosmosSDK.
Pracownicy Korei Północnej używają do 12 fałszywych tożsamości, posługując się fałszywymi dyplomami z Uniwersytetu w Belgradzie, fałszywymi dokumentami osiedlenia z Słowacji oraz wskazówkami, jak oszukać europejski system rekrutacji.
Forma transakcji i źródła finansowania
Raport wskazuje również, że pracownicy Korei Północnej są wspierani przez partnerów w Wielkiej Brytanii i USA, dzięki TransferWise, Payoneer oraz transakcjom kryptowalutowym, aby unikać śledzenia przepływu pieniędzy. #TransferWise zadeklarował, że ich system jest ściśle monitorowany, ale nie można całkowicie zapobiec wykorzystywaniu go przez nielegalne podmioty.
Cel i konsekwencje
Eksperci wskazują, że dochody z tej grupy pracowników IT są przesyłane do Korei Północnej, przyczyniając się do finansowania programów zbrojeniowych objętych międzynarodowymi sankcjami.
Ponadto wiele przedsiębiorstw zostało uprowadzone przez hakerów z Korei Północnej, z obawą, że ważne dane lub kod źródłowy mogą zostać ujawnione. Od października 2024 roku #GTIG zaobserwowało znaczny wzrost tych działań szantażowych.
Rozszerzenie kierunku ataku
W przeszłości grupa Lazarus z Korei Północnej przeprowadziła wiele ataków na przemysł kryptowalut. Jednak GTIG wskazuje, że władze Korei Północnej wzmacniają działalność poprzez różne grupy, takie jak TraderTraitor i AppleJeus. W lutym 2024 roku hakerzy związani z Lazarus ukradli 1,4 miliarda USD z giełdy Bybit, a następnie wyprać pieniądze przez DEX i mieszalniki monet.
Wnioski
GTIG ostrzega, że w związku z trendem pracy zdalnej i BYOD (przynoszenie własnych urządzeń do firmy), wiele startupów blockchain wciąż nie ma skutecznych narzędzi monitorujących. To stwarza warunki dla hakerów z Korei Północnej do wykorzystywania i kontynuowania działalności na skalę globalną.
