Ostatnie tweety eksperta ds. cyberbezpieczeństwa ZachXBT sugerują, że istnieje wyrafinowany proceder, w który zaangażowani są północnokoreańscy pracownicy IT podszywający się pod programistów kryptowalut.
Operacja doprowadziła do kradzieży 1,3 miliona dolarów ze skarbca projektu i ujawniła sieć ponad 25 zagrożonych projektów kryptowalutowych aktywnych od czerwca 2024 r.
Badania ZachXBT jednoznacznie wskazują, że pojedyncza jednostka w Azji, prawdopodobnie działająca z Korei Północnej, zarabia od 300 000 do 500 000 dolarów miesięcznie, pracując jednocześnie nad ponad 25 projektami kryptograficznymi, korzystając z fałszywych tożsamości.
6/ Kilka doświadczonych zespołów zatrudniło tych programistów, więc niesprawiedliwe jest, aby obarczać ich winą. Oto kilka wskaźników, na które zespoły mogą zwrócić uwagę w przyszłości: 1) Polecają się nawzajem do ról 2) Dobrze wyglądające CV / aktywność na GitHub, chociaż czasami kłamią…
— ZachXBT (@zachxbt) 15 sierpnia 2024 r.
Może Ci się również spodobać: Podejrzani o hakowanie hologramów za 14 mln dolarów aresztowani przez władze UE
Schemat kradzieży i prania pieniędzy
Incydent rozpoczął się, gdy anonimowy zespół zwrócił się do ZachXBT o pomoc po tym, jak z ich skarbca skradziono 1,3 miliona dolarów. Nieświadomie zatrudnili wielu północnokoreańskich pracowników IT, którzy używali fałszywych tożsamości, aby zinfiltrować zespół.
Skradzione środki o łącznej wartości 1,3 miliona dolarów zostały szybko wyprane za pomocą szeregu transakcji, w tym przelewu na adres kradzieży, połączenia z (SOL) do Ethereum (ETH) za pośrednictwem deBridge, wpłaty 50,2 ETH na konto Tornado Cash i ostatecznie przelewu 16,5 ETH na dwie różne giełdy.
Może Ci się również spodobać: Rząd USA wysłał 594 mln dolarów Silk Road Bitcoin do Coinbase
Mapowanie sieci
Dalsze dochodzenie wykazało, że złośliwi twórcy oprogramowania byli częścią większej sieci. Śledząc wiele adresów płatności, śledczy zmapował grupę 21 twórców oprogramowania, którzy otrzymali około 375 000 USD w ciągu ostatniego miesiąca.
Śledztwo powiązało również te działania z wcześniejszymi transakcjami na łączną kwotę 5,5 miliona dolarów, które wpłynęły na adres depozytowy giełdy w okresie od lipca 2023 r. do 2024 r.
Płatności te były powiązane z północnokoreańskimi pracownikami IT i Sim Hyon Sop, postacią sankcjonowaną przez Office of Foreign Assets Control (OFAC). Podczas śledztwa ujawniono kilka niepokojących działań, w tym przypadki nakładania się IP Russian Telecom między deweloperami, którzy rzekomo mieli siedzibę w USA i Malezji.
Dodatkowo, jeden z deweloperów przypadkowo ujawnił inne tożsamości podczas nagrywania. Dalsze dochodzenie wykazało, że adresy płatności były ściśle powiązane z adresami osób objętych sankcjami OFAC, takich jak Sang Man Kim i Sim Hyon Sop.
Zaangażowanie firm rekrutacyjnych w umieszczanie niektórych programistów zwiększyło złożoność sytuacji. Ponadto w kilku projektach zatrudniono co najmniej trzech północnokoreańskich pracowników IT, którzy polecali się nawzajem.
Może Ci się również spodobać: Vitalik Buterin przekazał 532 tys. dolarów w „monetach zwierzęcych” na cele charytatywne
Środki zapobiegawcze
ZachXBT zauważył, że wiele doświadczonych zespołów nieświadomie zatrudniło oszukańczych programistów, więc nie do końca sprawiedliwe jest obwinianie zespołów. Istnieje jednak kilka środków, które zespoły mogą podjąć, aby chronić się w przyszłości.
Środki te obejmują ostrożność wobec programistów polecających się nawzajem w kontekście ról, dokładne sprawdzanie życiorysów, dokładną weryfikację informacji KYC, zadawanie szczegółowych pytań o deklarowane lokalizacje programistów, monitorowanie programistów, którzy zostali zwolnieni, a następnie pojawili się ponownie na nowych kontach, obserwowanie spadku wydajności w czasie, regularne przeglądanie dzienników w poszukiwaniu anomalii, ostrożność wobec programistów korzystających z popularnych zdjęć profilowych NFT i zwracanie uwagi na potencjalne akcenty językowe, które mogłyby wskazywać na pochodzenie z Azji.