Egy átlagos észak-koreai hacker 12 személynek adja ki magát

Az észak-koreai hackercsoportok a szokásos amerikai vállalatok után most európai és Egyesült Királyságban működő kriptocégeket vettek célba. Európaiaknak kiadva magukat, hamis személyiséggel kerültek be a cégekhez, ahol később különböző hacker-tevékenységeket végeztek, és bevételeiket koreai fegyverprogramok finanszírozására használták fel.
A Google Threat Intelligence Group (GTIG) kedden közzétett jelentésében feltárta, hogy a Koreai Népi Demokratikus Köztársasághoz (KNDK) köthető informatikusok az Egyesült Államokon kívülre is kiterjesztették tevékenységüket, és Németországban, Portugáliában, Szerbiában, valamint az Egyesült Királyságban működő kriptoprojekteket vettek célba.
A megtámadott projektek között blokklánc-piacterek, AI webes alkalmazások, valamint Solana és Anchor/Rust-alapú okosszerződések szerepelnek.
Számos cég anélkül alkalmaz hackereket, hogy tudna róla
A vizsgálat feltárta, hogy számos blokklánc-vállalat – köztük olyan neves projektek, mint az Injective, ZeroLend, Fantom, Sushi, Yearn Finance és a Cosmos Hub – akaratlanul is észak-koreai IT munkásokat alkalmazott.
Ezek a munkavállalók hamis személyazonosságot használtak, sikeresen teljesítették az interjúkat és referenciaellenőrzéseket, valamint lenyűgöző munkatörténetet mutattak be. Az ilyen esetek nemcsak jogi problémákat vetnek fel, hanem jelentős biztonsági kockázatot is jelentenek, mivel több esetben is előfordult, hogy az ilyen munkavállalók által alkalmazott cégeket később hackertámadások érték.
A jelentés szerint egyes munkavállalók egyszerre 12 hamis személyazonosság alatt dolgoztak. A belgrádi egyetem diplomáját, Szlovákiából származó hamis tartózkodási dokumentumokat és az európai állásportálokon való eligazodáshoz szükséges útmutatást használtak.
Felmerülhet a kérdés, hogy hogyan sikerült megkerülniük a személyazonossági ellenőrzéseket. Jamie Collier, a GTIG tanácsadója szerint ebben az Egyesült Királyságban és az Egyesült Államokban működő közvetítők segítettek. Fizetésüket TransferWise-on, Payoneeren és kriptókon keresztül kapták, hatékonyan elrejtve az észak-koreai rezsimhez visszaáramló pénzeszközök forrását. A GTIG jelentése szerint a bevételt az észak-koreai kormány szankcionált fegyverprogramjainak finanszírozására használják fel.
Az egyik esetben például egy Nodexa token hosting platformot építettek a Next.js és a CosmosSDK segítségével, míg más esetekben egy blokklánc-álláspiacot építettek a MERN stack és a Solana segítségével, valamint mesterséges intelligenciával feljavított blokklánceszközök fejlesztését az Electron és a Tailwind CSS segítségével.
A KNDK kiberstratégiája túlmutat a Lazarus Groupon
Márciusban a Paradigm biztonsági kutatója, Samczsun arra figyelmeztetett, hogy a KNDK kiberstratégiája messze túlmutat az állam által támogatott Lazarus Groupon, amely a történelem néhány legnagyobb kriptohackjéhez kapcsolódik, köztük a közelmúltbéli Bybit-hackhez.
Januárban az Igazságügyi Minisztérium vádat emelt két észak-koreai állampolgár ellen, akik 2018 és 2024 között legalább 64 amerikai vállalatba szivárogtak be egy csalárd informatikai munkaszervezet működtetése miatt.
Egy másik eset során tavaly decemberben az Egyesült Államok Pénzügyminisztériumának Külföldi Vagyonellenőrzési Hivatala (OFAC) két kínai állampolgárt tiltott el, amiért digitális eszközök tisztára mosására és az észak-koreai kormány finanszírozására használtak egy, a phenjani rezsimhez kötődő, Egyesült Arab Emírségekbeli székhelyű fedőcéget.
A Wise szóvivője így nyilatkozott az üggyel kapcsolatban: „Nagyon komolyan vesszük az összes vonatkozó szankciós törvény betartását. A cég számos ellenőrzést végez, és több mint 250 adatpontot használ a Wise-on történő tranzakciók nyomon követésére, hogy elkapja és azonosítsa a szolgáltatásainkkal való esetleges visszaéléseket. Amikor potenciális pénzügyi bűncselekményt vagy a szolgáltatásunkkal való bármilyen más visszaélést azonosítunk, azonnali lépéseket teszünk az eset kivizsgálására, beleértve a tranzakciók és az ügyfélszámlák felfüggesztését vagy befagyasztását”.
Ezek az esetek rávilágítanak arra, hogy a vállalatoknak fokozott óvatossággal kell eljárniuk az új munkavállalók felvételekor, különösen a távmunka és a szabadúszó munkák elterjedésével. Fontos a szigorú ellenőrzési folyamatok bevezetése és a munkavállalók háttérellenőrzése, hogy elkerüljék az ilyen jellegű biztonsági incidenseket és jogi problémákat.