Interviu su „Stripe“ John Collison, „Coinbase“ generalinis direktorius Brianas Armstrongas pasidalino detalėmis apie taktiką Šiaurės Korėjos įsilaužėlius, naudojamus „Coinbase“ įsiskverbimui. Apgaulių agentų bandymai papirkti „Exchange“ palaikymo komandą ar gauti darbą „Coinbase“, atsirado griežtesni saugumo standartai. Ką mes sužinojome apie įsilaužėlius iš KLDR?
Santrauka
- Naujame interviu Brianas Armstrongas pabrėžė, kad Šiaurės Korėja bando įsiskverbti į technologijų kompanijas, turinčias daugybę savo agentų, paslėptų kaip nuotoliniai IT darbuotojai.
- Armstrongas teigė, kad kas ketvirtį atrodo maždaug 500 naujų agentų, baigusių specialiąsias mokyklas.
- Anot Armstrongo, grėsmės aktoriai bando papirkti „Coinbase“ palaikymo komandą su šimtais tūkstančių dolerių, kad gautų privačią informaciją.
- „Coinbase“ turėjo sugriežtinti savo saugumo standartus, o samdydama naujus žmones. Tik pirštų atspaudų darbuotojai, turintys JAV pilietybę ir šeimos šalyje, gali pasiekti neskelbtiną informaciją.
- Anksčiau tyrėjai sužinojo, kad KLDR nuolat bando įsijausti į savo agentus, kad jie būtų pasamdyti technologijų įmonėse, kad galėtų ten pavogti kriptovaliutą. Manoma, kad pavogtas kriptovaliutas bus naudojamas kaip Šiaurės Korėjos branduolinės programos finansavimas.
Šiaurės Korėjos paėmimas iš Armstrongo interviu
2025 m. Rugpjūčio 20 d. „Stripe YouTube“ kanalas išleido naują vaizdo įrašą. Jame Collisonas ir Armstrongas, kurie yra juostelių ir „Coinbase“ vadovai, kalbasi apie pastebimas kriptovaliutų erdvės tendencijas.
Collisonas paklausė Armstrongo, ko „General Tech Public“ neįvertina dėl kibernetinių nusikaltimų kraštovaizdžio, o beveik tiesioginis Armstrongo atsakymas buvo: „Daugelis Šiaurės Korėjos agentų bando dirbti šiose įmonėse“, dažniausiai nuotoliniu būdu.
Armstrongas teigė, kad nors įmonės bendradarbiauja su teisėsauga ir gauna pranešimus apie kai kuriuos kandidatus kaip „žinomus veikėjus“, atrodo, kad daugiau nei 500 agentų, baigusių „kažkokią mokyklą“ KLDR, kiekvieną ketvirtį, o infiltruojančios technologijų kompanijos yra jų „visas darbas“.
Jis pabrėžė, kad nekaltina asmenų dėl to, kad jis tapo agentais:
„Daugeliu atvejų tai nėra asmens kaltė. Jų šeimos bus prievarta ar sulaikyta, jei jos nebendradarbiaus. Taigi iš tikrųjų daugeliu atvejų jie taip pat yra auka.“
Internetinių darbo pokalbių metu KLDR agentai paprastai turi tam tikrą trenerį, kuris juos padeda, todėl „Coinbase“ darbuotojai turi reikalauti, kad kandidatai įjungtų fotoaparatą, kad įsitikintų, jog jie kalbasi su realiu žmogumi, ir niekas netoliese nedavė instrukcijų.
Jei darbuotojui reikia pasiekti bet kokią neskelbtiną sistemą, jis privalo atvykti į JAV asmeniškai orientacijai. „Coinbase“ riboja prieigą prie neskelbtinų duomenų, leisdama tik pirštų atspaudams su JAV pilietybe ir šeimos nariais. Tokį griežtą požiūrį lemia padidėjusios saugumo problemos, susijusios su KLDR infiltracijos bandymais.
Kitas Armstrongo pokalbio metu išreikštas rūpestis yra atvejai, kai grėsmės veikėjai bandė papirkti „Coinbase“ palaikymo komandos agentus, siūlydami šimtus tūkstančių dolerių mainais už kontrabandą asmeniniuose telefonuose, fotografuodami ekraną ir dalijantis kitų tipų duomenimis. Siekdama atkreipti dėmesį į kyšininkavimo atsiradimo nuotėkio riziką, „Coinbase“ turėjo padidinti palaikymo komandos kontrolę ir perkelti klientų aptarnavimo tarnybas į JAV ir Europą. Armstrongas pasakė:
„(Mes) iš tikrųjų pradėjome atgrasyti nuo to, kad sugauname žmones, kurie tai daro – ir mes tai nuolat raudoni – mes nevaikščiojame jų pro duris – jie eina į kalėjimą. Mes stengiamės labai aiškiai pasakyti, kad sunaikinate likusį gyvenimą, imdamiesi to, net jei manote, kad tai yra šiek tiek pinigų, nesvarbu, kad neverta eiti į kalėjimą“.
Kita priemonė yra 20 mln. Armstrongas pabrėžė, kad „Coinbase“ ne tik eina paskui viešai neatskleistą informaciją, bet ir nukreipia į pačius grėsmės veikėjus.
Kas žinoma apie įsilaužėlius iš KLDR?
To paties interviu metu Armstrongas teigė, kad „KLDR yra labai suinteresuotas pavogti kriptovaliutą“, ir šio teiginio negalima nuvertinti. Pasak „blockchain“ analitikų kompanijos „Elliptic“, didžiausias istorijoje buvo Šiaurės Korėjos įsilaužėlių kriptovaliutų biržos įsilaužimas. Liūdnai pagarsėjusios Lazarus grupės įsilaužėliai, susiję su KLDR, sugebėjo pavogti 1,46 milijardo dolerių kriptovaliutų turtą. Nuo 2017 m. KLDR pavogė daugiau nei 5 milijardus dolerių kriptovaliutų. Tariamai 40% Šiaurės Korėjos kariuomenės branduolinės programos finansuojama per pavogtas kriptovaliutas. Daugiau nei 300 milijonų dolerių pinigų, pavogtų iš bitų, greičiausiai buvo panaudota branduoliniams ginklams finansuoti.
Šiaurės Korėjos įsilaužėliai naudoja įvairią taktiką, kad pavogtų kriptovaliutų ir plovimo pinigus. 2025 m. Rugpjūčio 13 d. Iš Šiaurės Korėjos įsilaužėlių, kurie apsimetė, kad yra IT darbuotojai Vakarų kompanijose, iš Šiaurės Korėjos įsilaužėlių, kurie apsimetė, kad yra Vakarų kompanijų darbuotojai, nutekėjo iš „Zachxbt“ rankenos.
Nuotėkis atskleidė, kad penki agentai eksploatuoja 30 netikrų tapatybių ir turėjo fiktyvius „LinkedIn“ ir „Upwork IT“ darbuotojų sąskaitas. Jie daugiausia bendravo anglų kalba ir naudojo įvairias „Google“ paslaugas, kad galėtų vykdyti savo veiklą, pirkti sąskaitas darbo platformose, serijinio saugumo numerius ir kt. Kai kurie šių agentų naršyklės istorijos ekrano nuotraukos atskleidžia žemą technologijų kompetencijos lygį. Anot Zachxbt, Šiaurės Korėjos agento samdymas yra „100% aplaidumas“. Jo nuomone, išsiaiškinti, kad kandidatas yra KLDR agentas, nėra toks sunkus.
Nepaisant to, kad KLDR agentai yra blogi darbe ir greitai atleidžiami, jie randa naujų darbo vietų; Paprastai keli agentai vienu metu užima pozicijas toje pačioje įmonėje ir galiausiai sugeba pavogti kriptovaliutą.
Šiaurės Korėjos įsilaužėliai skalbė pavogtą turtą per „Binance“ ir „CoinBase“, tačiau turėjo rasti kitų būdų, nes šie mainai padidino KYC/AML tikrinimą. Jie sukūrė nereceptinių brokerių grandinę. Taip pat korėjiečių įsilaužėliai naudoja kriptovaliutų maišytuvų platformas, kurios užmaskuoja operacijų duomenis. Kalbant apie „Lazarus Group“ veiklą, JAV iždas pavadino tokias maišytuvų platformas kaip „Sinbad“, „Tornado Cash“ ir „Blender“.
Anot „Zachxbt“, „PusiCONICE CONDER CIRCE“, kuri yra pagrindinė „Tether“ konkurentė, nepaiso savo „StableCoin“ USDc naudojimo atliekant su KLPR susijusias pinigų plovimo operacijas, būdama vienintelė įmonė, kuri neužšilino į vėliavos pinigines, kai „Zachxbt“ užfiksavo ryšį. Galiausiai įmonė užšaldė adresus, susijusius su įsilaužimu po kelių mėnesių. „Circle“ generalinis direktorius Jeremy Allaire'as atsakė į „Zachxbt“ kritiką sakydamas, kad įmonė neužšaldys vien tik remdamasis Zachxbt tyrimu. Teisėsaugos prašymas buvo būtinas.
„Zachxbt“ kaltina „Circle“, kad Korėjos įsilaužėliai leido naudoti USDC, kad įmonė uždirbtų operacijų mokesčius. Panašios pretenzijos buvo pareikštos prieš „Metamask“ piniginę, kuri, kaip įtariama, dalyvavo KLPR pinigų plovimo operacijose.
Nors „Zachxbt“ atmeta KLDR agentų rafinuotumą, kai jie bando įsiskverbti į technologijų kompanijas, „Coinbase“ turi priežasčių būti atsargiems. Atsižvelgiant į tai, kad „Coinbase“ yra atsakinga už daugiau nei 2,2 mln. Bitkoinų globą, tai yra daugiau kaip 10% viso tiekimo, plačiai kontroliuoti darbus gali atrodyti nereikalinga.
