Šešių mėnesių trukmės tyrimas, remiamas Ethereum fondo, atskleidė, kaip Šiaurės Korėjos pareigūnai tyliai įsiterpė į dešimtis Web3 komandų, turėdami netikrą tapatybę.
Santrauka
- Ethereum fondas parėmė šešis mėnesius trukusį tyrimą, kurio metu buvo nustatyta 100 Šiaurės Korėjos darbuotojų Web3 įmonėse.
- Ketmano projektas įspėjo 53 kriptovaliutų komandas, atsekęs netikras kūrėjų tapatybes ir įtartiną „GitHub“ veiklą.
- Tyrėjai susiejo šį modelį su ilgalaikiu KLDR įsiskverbimu, susijusiu su dideliais išnaudojimais, susijusiais su Lazarus grupe.
Ethereum fondas ketvirtadienį pranešė, kad ETH Rangers iniciatyva finansavo į saugumą orientuotą pastangą, kurios metu buvo nustatyta 100 asmenų, susijusių su Korėjos Liaudies Demokratine Respublika, veikiančių kriptovaliutų įmonėse. Programa, pradėta 2024 m. pabaigoje, buvo sukurta siekiant paremti viešųjų gėrybių darbą, skiriant stipendijas nepriklausomiems mokslininkams.
Vienas iš tų gavėjų panaudojo finansavimą, kad pradėtų Ketman projektą, kurio pagrindinis dėmesys buvo skiriamas „netikrų kūrėjų“, dirbančių Web3 organizacijose, sekimui. Per šešių mėnesių laikotarpį projektas pažymėjo 100 įtariamų KLDR IT darbuotojų ir pasiekė 53 kriptovaliutų projektus, kuriuose jie galėjo nesąmoningai panaudoti.
„Šis darbas tiesiogiai sprendžia vieną iš aktualiausių veiklos saugumo grėsmių, su kuriomis šiandien susiduria Ethereum ekosistema“, – teigė fondas.
Išvados papildo vis daugiau įrodymų, rodančių, kad su Šiaurės Korėja susiję kūrėjai praleido daug metų, kad įsitrauktų į kriptovaliutų pramonę, dažnai susiliedami į komandas, pasitelkdami patikimą techninį indėlį ir sukurdami profesionalų tapatybę.
Saugumo tyrinėtojas ir „MetaMask“ kūrėjas Tayloras Monahanas anksčiau sakė, kad tokia veikla prasidėjo ankstyvoje DeFi eroje, o su KLDR susiję kūrėjai prisidėjo prie plačiai naudojamų protokolų.
„Daugelis KLDR IT darbuotojų sukūrė jums žinomus ir mėgstamus protokolus iki pat DeFi vasaros“, – sakė ji ir pažymėjo, kad daugiau nei 40 platformų įvairiuose taškuose rėmėsi tokiais bendraautoriais. Teiginiai apie didelę patirtį ne visada yra išgalvoti, pridūrė ji, sakydama, kad jų „septynerių metų „blockchain dev“ patirtis“ nėra „melas“.
Tyrėjai šias operacijas nuosekliai siejo su „Lazarus Group“ – valstybės remiamu kolektyvu, susijusiu su didžiausiomis pastarųjų metų kriptovaliutų vagystėmis. R3ACH analitikų apskaičiavimais, nuo 2017 m. iš viso pavogtos lėšos siekia apie 7 mlrd. USD, įskaitant tokias atakas kaip 625 mln. USD vertės Ronino tilto išnaudojimas, 235 mln. USD vertės WazirX pažeidimas ir 1,4 mlrd.
Paprasta taktika, atkaklus vykdymas
Nepaisant žalos masto, daugelis bandymų įsiskverbti remiasi gana paprastais metodais, o ne pažangiais išnaudojimais. Analitikai teigia, kad atkaklumas, socialinė inžinerija ir tapatybės sluoksniavimas dažnai yra veiksmingesni už techninį sudėtingumą.
Nepriklausomas blokų grandinės tyrėjas ZachXBT pažymėjo, kad daugelis šių operacijų yra „paprastos ir jokiu būdu nesudėtingos“, ir pridūrė, kad „vienintelis dalykas yra tai, kad jos yra negailestingos“. Bendravimas paprastai vyksta per paraiškas dėl darbo, „LinkedIn“ profilius, apsikeitimą el. paštu ir nuotolinius pokalbius, todėl darbuotojai palaipsniui didina pasitikėjimą komandose.
Naujausi incidentai parodė, kiek toli tokia taktika gali nueiti. 280 mln. USD vertės „Drift Protocol“ išnaudojimas buvo susijęs su su Šiaurės Korėja susijusia grupe, o užpuolikai naudojosi tarpininkais ir visiškai sukonstruotomis profesinėmis tapatybėmis, siekdami užtikrinti patikimumą prieš įvykdydami pažeidimą.
Raudonos vėliavos ir aptikimo pastangos plečiasi
Išsami informacija iš Ketmano projekto atskleidžia, kaip šie darbuotojai palaiko priedangą plėtros komandose. Įprasti rodikliai apima pakartotinį pseudoportretų ar profilio metaduomenų naudojimą keliose „GitHub“ paskyrose, netyčia nesusijusių el. pašto adresų atskleidimą ekrano bendrinimo metu ir sistemos kalbos nustatymų, kurie prieštarauja pareikštoms tautybėms, naudojimą.
Be tyrimo darbų, projektas sukūrė atvirojo kodo įrankį, skirtą įtartinai GitHub veiklai pažymėti. Ji taip pat kartu su Saugumo aljansu sukūrė pramonės sistemą, skirtą su KLDR susijusių IT darbuotojų identifikavimui.
