CoinDesk выявил более десятка криптокомпаний, которые неосознанно нанимали ИТ-специалистов из Корейской Народно-Демократической Республики (КНДР), включая такие известные блокчейн-проекты, как Injective, ZeroLend, Fantom, Sushi, Yearn Finance и Cosmos Hub.
Работники использовали поддельные удостоверения личности, успешно проходили собеседования, проходили проверки рекомендаций и представляли подлинные истории трудовой деятельности.
Наем работников из КНДР является противозаконным в США и других странах, которые ввели санкции против Северной Кореи. Это также представляет риск для безопасности: CoinDesk столкнулся с многочисленными примерами компаний, нанимающих ИТ-работников из КНДР, а затем подвергающихся взлому.
«Все изо всех сил пытаются отфильтровать таких людей», — сказал Заки Маниан, известный разработчик блокчейна, который, по его словам, непреднамеренно нанял двух ИТ-специалистов из КНДР для помощи в разработке блокчейна Cosmos Hub в 2021 году.
Криптовалютная компания Truflation все еще находилась на ранней стадии развития в 2023 году, когда ее основатель Стефан Раст неосознанно нанял своего первого сотрудника из Северной Кореи.
«Мы всегда искали хороших разработчиков», — сказал Раст из своего дома в Швейцарии. «И вдруг, как гром среди ясного неба, этот разработчик перешел черту».
«Рюхэй» отправил свое резюме через Telegram и заявил, что он из Японии. Вскоре после того, как его наняли, начали всплывать странные несоответствия.
В какой-то момент «я разговаривал с парнем, и он сказал, что попал в землетрясение», — вспоминает Раст. Только вот недавнего землетрясения в Японии не было. Потом сотрудник начал пропускать звонки, а когда появлялся, «это был не он», — говорит Раст. «Это был кто-то другой». Кто бы это ни был, он избавился от японского акцента.
Раст вскоре узнал, что «Рюхэй» и еще четверо сотрудников — более трети всей его команды — были северокорейцами. Невольно Раст стал жертвой скоординированной схемы Северной Кореи по обеспечению своих людей удаленными рабочими местами за рубежом и переправке доходов обратно в Пхеньян.
Власти США в последнее время усилили свои предупреждения о том, что северокорейские специалисты по информационным технологиям (ИТ) проникают в технологические компании, включая криптоработодателей, и используют доходы для финансирования программы ядерного оружия этого государства-изгоя. Согласно отчету Организации Объединенных Наций за 2024 год, эти ИТ-специалисты ежегодно приносят режиму Ким Чен Ына до 600 миллионов долларов.
Наем и оплата труда рабочих — даже непреднамеренно — нарушает санкции ООН и является незаконным в США и многих других странах. Это также представляет серьезную угрозу безопасности, поскольку северокорейские хакеры известны тем, что атакуют компании через тайных работников.
Расследование CoinDesk теперь показывает, насколько агрессивно и часто соискатели работы в Северной Корее нацеливаются именно на криптокомпании — успешно проходя собеседования, проходя проверки рекомендаций и даже представляя впечатляющие истории вклада в код в репозитории программного обеспечения с открытым исходным кодом GitHub.
CoinDesk пообщался с более чем десятком криптокомпаний, которые заявили, что они непреднамеренно наняли ИТ-специалистов из Корейской Народно-Демократической Республики (КНДР), как официально называется эта страна.
Эти интервью с основателями, исследователями блокчейна и отраслевыми экспертами показывают, что северокорейские ИТ-работники гораздо более распространены в криптоиндустрии, чем считалось ранее. Практически каждый менеджер по найму, к которому обратился CoinDesk для этой истории, признал, что они проводили собеседования с предполагаемыми северокорейскими разработчиками, нанимали их непреднамеренно или знали кого-то, кто это делал.
«Процент входящих резюме или людей, ищущих работу или желающих внести свой вклад — всего этого — которые, вероятно, из Северной Кореи, превышает 50% во всей криптоиндустрии», — сказал Заки Маниан, известный разработчик блокчейнов, который, по его словам, непреднамеренно нанял двух ИТ-специалистов из КНДР для помощи в разработке блокчейна Cosmos Hub в 2021 году. «Все изо всех сил пытаются отфильтровать этих людей».
Среди невольных работодателей из КНДР, выявленных CoinDesk, было несколько хорошо зарекомендовавших себя блокчейн-проектов, таких как Cosmos Hub, Injective, ZeroLend, Fantom, Sushi и Yearn Finance. «Все это происходило за кулисами», — сказал Маниан.
Это расследование стало первым случаем, когда какая-либо из этих компаний публично признала, что они непреднамеренно наняли ИТ-специалистов из КНДР.
Во многих случаях северокорейские рабочие выполняли свою работу так же, как и обычные сотрудники; так что работодатели в основном получали то, за что платили, в некотором смысле. Но CoinDesk нашел доказательства того, что рабочие впоследствии переводили свою зарплату на блокчейн-адреса, связанные с северокорейским правительством.
Расследование CoinDesk также выявило несколько случаев, когда криптопроекты, в которых работали IT-специалисты из КНДР, впоследствии становились жертвами взломов. В некоторых из этих случаев CoinDesk удалось напрямую связать ограбления с предполагаемыми IT-специалистами из КНДР, работающими в компании. Так было с Sushi, известным децентрализованным финансовым протоколом, который потерял 3 миллиона долларов в результате хакерского инцидента в 2021 году.
Управление по контролю за иностранными активами (OFAC) Министерства финансов США и Министерство юстиции начали публиковать информацию о попытках Северной Кореи проникнуть в криптоиндустрию США в 2022 году. CoinDesk обнаружил доказательства того, что ИТ-специалисты КНДР начали работать в криптокомпаниях под поддельными именами задолго до этого, по крайней мере, еще в 2018 году.
«Многие люди, я думаю, ошибочно полагают, что это что-то новое, что произошло внезапно», — сказал Маниан. «У этих людей есть аккаунты GitHub и другие вещи, которые, например, восходят к 2016, 2017, 2018 годам». (GitHub, принадлежащий Microsoft, — это онлайн-платформа, которую многие организации, занимающиеся разработкой программного обеспечения, используют для размещения кода и позволяют разработчикам сотрудничать.)
CoinDesk связал ИТ-работников КНДР с компаниями, используя различные методы, включая записи платежей в блокчейне, публичные вклады кода GitHub, электронные письма от должностных лиц правительства США и интервью напрямую с целевыми компаниями. Одна из крупнейших северокорейских платежных сетей, изученных CoinDesk, была раскрыта ZachXBT, блокчейн-исследователем, который опубликовал список подозреваемых разработчиков из КНДР в августе.
Раньше работодатели молчали из-за опасений нежелательной огласки или юридических последствий. Теперь, столкнувшись с обширными платежными записями и другими доказательствами, обнаруженными CoinDesk, многие из них решили впервые выступить и поделиться своими историями, разоблачив ошеломляющий успех и масштаб усилий Северной Кореи по проникновению в криптоиндустрию.
Поддельные документы
После найма Рюхея, якобы японского сотрудника, Rust's Truflation получила поток новых кандидатов. Всего за несколько месяцев Rust невольно нанял еще четырех разработчиков из КНДР, которые заявили, что они работают в Монреале, Ванкувере, Хьюстоне и Сингапуре.
Крипто-сектор особенно подходит для саботажа со стороны северокорейских ИТ-специалистов. Рабочая сила особенно глобальна, и криптокомпании, как правило, чувствуют себя более комфортно, чем другие, нанимая полностью удаленных — даже анонимных — разработчиков.
CoinDesk проанализировал заявления о приеме на работу в КНДР, которые криптокомпании получили из разных источников, включая платформы обмена сообщениями, такие как Telegram и Discord, специализированные доски объявлений о работе в сфере криптовалют, такие как Crypto Jobs List, и сайты по найму, такие как Indeed.
«Где им больше всего везет с наймом, так это с действительно свежими, новыми командами-выскочками, которые готовы нанимать людей из Discord», — сказал Тейлор Монахан, менеджер по продукту в приложении криптовалютного кошелька MetaMask, который часто публикует исследования безопасности, связанные с северокорейской криптовалютной активностью. «У них нет процессов найма людей с проверкой биографических данных. Они готовы платить криптовалютой много раз».
Раст сказал, что он провел собственные проверки биографий всех новых сотрудников Truflation. «Они прислали нам свои паспорта и удостоверения личности, предоставили нам репозитории GitHub, прошли тестирование, а затем, по сути, мы их приняли».
На первый взгляд большинство поддельных документов неотличимы от настоящих паспортов и виз, хотя эксперты сообщили CoinDesk, что профессиональные службы проверки биографических данных, скорее всего, смогли бы их обнаружить.
Хотя стартапы реже прибегают к услугам профессиональных проверяющих, «мы видим северокорейских ИТ-специалистов и в крупных компаниях, либо в качестве постоянных сотрудников, либо, по крайней мере, в качестве подрядчиков», — говорит Монахан.
Прячется на виду
Во многих случаях CoinDesk обнаруживал ИТ-специалистов из КНДР в компаниях, использующих общедоступные данные блокчейна.
В 2021 году Маниану, разработчику блокчейна, понадобилась помощь в его компании Iqlusion. Он искал внештатных кодеров, которые могли бы помочь с проектом по обновлению популярного блокчейна Cosmos Hub. Он нашел двух рекрутов; они справились.
Маниан никогда не встречался с фрилансерами «Джун Кай» и «Саравут Санит» лично. Ранее они работали вместе над проектом программного обеспечения с открытым исходным кодом, финансируемым THORChain, тесно связанной блокчейн-сетью, и они сказали Маниану, что находятся в Сингапуре.
«Я разговаривал с ними почти каждый день в течение года», — сказал Маниан. «Они выполнили работу. И я был, честно говоря, очень доволен».
Через два года после того, как фрилансеры завершили свою работу, Маниан получил электронное письмо от агента ФБР, расследующего переводы токенов, которые, как оказалось, шли от Iqlusion по пути на предполагаемые северокорейские адреса криптовалютных кошельков. Спорные переводы оказались платежами Iqlusion Каю и Саниту.
ФБР так и не подтвердило Маниану, что нанятые им разработчики были агентами КНДР, однако проверка CoinDesk адресов блокчейна Кая и Санита показала, что в течение 2021 и 2022 годов они перечисляли свои доходы двум лицам, включенным в санкционный список OFAC: Ким Сан Ману и Сим Хён Соп.
По данным OFAC, Сим является представителем Kwangson Banking Corp, северокорейского банка, который отмывает средства ИТ-работников, чтобы помочь «финансировать программы КНДР по созданию оружия массового поражения и баллистических ракет». Саравут, по-видимому, перевел все свои доходы на Sim и другие блокчейн-кошельки, связанные с Sim.
Тем временем Кай перевел Киму почти 8 миллионов долларов. Согласно консультативному заключению OFAC за 2023 год, Ким является представителем управляемой КНДР компании Chinyong Information Technology Cooperation Company, которая «через компании, находящиеся под ее контролем, и их представителей нанимает делегации ИТ-специалистов КНДР, которые работают в России и Лаосе».
Заработная плата Iqlusion Каю составила менее 50 000 долларов из почти 8 миллионов долларов, которые он отправил Киму, а часть оставшихся средств поступила от других криптовалютных компаний.
Например, CoinDesk обнаружил платежи от Fantom Foundation, который разрабатывает широко используемый блокчейн Fantom, «Джун Каю» и другому разработчику, связанному с КНДР.
«Fantom действительно идентифицировал двух внешних сотрудников, связанных с Северной Кореей в 2021 году», — сообщил представитель Fantom Foundation изданию CoinDesk. «Однако разработчики, о которых идет речь, работали над внешним проектом, который так и не был завершен и не был развернут».
По данным Fantom Foundation, «двое указанных лиц были уволены, никогда не вносили вредоносный код и не имели доступа к кодовой базе Fantom, и ни один пользователь Fantom не пострадал». Один из сотрудников КНДР попытался атаковать серверы Fantom, но потерпел неудачу, поскольку у него не было необходимого доступа, сообщил представитель.
По данным базы данных OpenSanctions, блокчейн-адреса Кима, связанные с КНДР, не публиковались ни одним правительством до мая 2023 года — более чем через два года после того, как Iqlusion и Fantom осуществили свои платежи.
Дана свобода действий
США и ООН санкционировали найм ИТ-специалистов из КНДР в 2016 и 2017 годах соответственно.
Платить северокорейским рабочим в США незаконно, независимо от того, знаете ли вы об этом или нет. Эта правовая концепция называется «строгая ответственность».
При этом не имеет значения, где базируется компания: найм работников из КНДР может повлечь за собой юридические риски для любой компании, ведущей бизнес в странах, которые ввели санкции против Северной Кореи.
Однако США и другие государства-члены ООН до сих пор не привлекли к ответственности криптокомпанию за найм северокорейских ИТ-специалистов.
Министерство финансов США начало расследование в отношении компании Iqlusion, базирующейся в США, однако Маниан утверждает, что расследование завершилось без каких-либо штрафных санкций.
Власти США снисходительно отнеслись к выдвижению обвинений против фирм, в какой-то степени признав, что они стали жертвами в лучшем случае необычайно сложного и изощренного вида мошенничества с использованием персональных данных, а в худшем — длительного мошенничества самого унизительного характера.
Помимо правовых рисков, платить зарплату ИТ-специалистам КНДР также «плохо, потому что вы платите людям, которых режим фактически эксплуатирует», — пояснил Монахан из MetaMask.
Согласно 615-страничному докладу Совета Безопасности ООН, работники ИТ-отдела КНДР получают лишь небольшую часть своих зарплат. «Те, кто зарабатывает меньше, получают 10 процентов, а те, кто зарабатывает больше, могут получить 30 процентов», — говорится в докладе.
Хотя эти зарплаты все еще могут быть высокими по сравнению со средними в Северной Корее, «мне все равно, где они живут», — сказал Монахан. «Если я плачу кому-то, а его буквально заставляют отправлять всю зарплату своему боссу, это меня очень смущает. Мне было бы еще более неуютно, если бы их боссом был, знаете ли, северокорейский режим».
В ходе подготовки отчета CoinDesk обращался к нескольким предполагаемым ИТ-специалистам из КНДР, но ответа не получил.
Идти вперед
CoinDesk выявил более двух десятков компаний, которые нанимали возможных IT-работников из КНДР, проанализировав записи платежей в блокчейне организациям, находящимся под санкциями OFAC. Двенадцать компаний, предоставивших записи, подтвердили CoinDesk, что ранее они обнаружили в своих платежных ведомостях предполагаемых IT-работников из КНДР.
Некоторые отказались от дальнейших комментариев, опасаясь юридических последствий, но другие согласились поделиться своими историями в надежде, что другие смогут извлечь уроки из их опыта.
Во многих случаях граждан КНДР оказалось легче идентифицировать после того, как их наняли.
Эрик Чен, генеральный директор Injective, децентрализованного финансового проекта, рассказал, что в 2020 году он нанял внештатного разработчика, но быстро уволил его за неудовлетворительную работу.
«Он не продержался долго», — сказал Чен. «Он писал паршивый код, который плохо работал». Только в прошлом году, когда американское «правительственное агентство» обратилось к Injective, Чен узнал, что сотрудник был связан с Северной Кореей.
Несколько компаний сообщили CoinDesk, что уволили сотрудника, даже не узнав о его связях с КНДР, — например, из-за некачественной работы.
«Молочная зарплата за несколько месяцев»
Однако ИТ-работники КНДР похожи на типичных разработчиков в том, что их способности могут различаться.
С одной стороны, у вас будут сотрудники, которые «приходят, проходят собеседование и просто выдаивают зарплату за несколько месяцев», — говорит Маниан. «Есть и другая сторона, когда вы встречаете этих людей, у которых, когда вы проводите собеседование, выясняется, что их настоящие технические навыки действительно сильны».
Раст вспомнил, что в Truflation был «один действительно хороший разработчик», который утверждал, что он из Ванкувера, но оказался из Северной Кореи. «Он был совсем молодым парнем», — сказал Раст. «Казалось, он только что закончил колледж. Немного зеленый на уши, очень увлеченный, очень взволнованный тем, что работает над возможностью».
В другом случае Cluster, стартап в сфере децентрализованного финансирования, уволил двух разработчиков в августе после того, как ZachXBT предоставил доказательства их связи с КНДР.
«На самом деле, это безумие, как много знали эти ребята», — сказал CoinDesk псевдонимный основатель Cluster z3n. Оглядываясь назад, можно сказать, что были некоторые «явные красные флажки». Например, «каждые две недели они меняли свой платежный адрес, и примерно раз в месяц они меняли свое имя в Discord или Telegram».
Веб-камера выключена
В беседах с CoinDesk многие работодатели рассказали, что заметили отклонения, которые стали более понятны, когда они узнали, что их сотрудники, вероятно, являются гражданами Северной Кореи.
Иногда намеки были едва заметными, например, рабочие часы сотрудников не совпадали с предполагаемым местом работы.
Другие работодатели, такие как Truflation, замечали намеки на то, что сотрудник — это несколько человек, маскирующихся под одного человека, — что сотрудник пытался скрыть, отключая веб-камеру. (Почти всегда это мужчины).
Одна компания наняла сотрудницу, которая появлялась на утренних встречах, но, казалось, забывала все, что обсуждалось позже в тот же день, — эта странность стала более понятной, когда работодатель понял, что она общалась с несколькими людьми.
Когда Раст высказал свои опасения относительно Рюхея, своего «японского» сотрудника, инвестору, имеющему опыт отслеживания преступных платежных сетей, инвестор быстро установил личность четырех других подозреваемых ИТ-работников из КНДР, состоявших на учете у Truflation.
«Мы немедленно разорвали наши связи», — сказал Раст, добавив, что его команда провела аудит безопасности своего кода, улучшила процессы проверки биографических данных и изменила некоторые политики. Одной из новых политик было требование к удаленным работникам включать свои камеры.
Взлом на 3 миллиона долларов
Многие работодатели, опрошенные CoinDesk, ошибочно полагали, что ИТ-специалисты КНДР действуют независимо от хакерского подразделения Северной Кореи, однако данные блокчейна и беседы с экспертами показывают, что хакерская деятельность режима и ИТ-специалисты часто связаны.
В сентябре 2021 года MISO, платформа, созданная Sushi для запуска крипто-токенов, потеряла $3 млн в результате широко освещавшегося ограбления. CoinDesk обнаружил доказательства того, что атака была связана с наймом Sushi двух разработчиков с записями платежей в блокчейне, связанными с Северной Кореей.
На момент взлома Sushi была одной из самых обсуждаемых платформ в развивающемся мире децентрализованных финансов (DeFi). Более 5 миллиардов долларов было внесено на SushiSwap, который в основном служит «децентрализованной биржей», позволяющей людям обмениваться криптовалютами без посредников.
Джозеф Делонг, тогдашний технический директор Sushi, проследил ограбление MISO до двух внештатных разработчиков, которые помогли его создать: лиц, использовавших имена Энтони Келлер и Сава Груич. Делонг сказал, что разработчики, которые, как он теперь подозревает, были одним человеком или организацией, внедрили вредоносный код в платформу MISO, перенаправив средства на контролируемый ими кошелек.
Когда Келлер и Груич заключили контракт с Sushi DAO, децентрализованной автономной организацией, которая управляет протоколом Sushi, они предоставили учетные данные, которые казались достаточно типичными — даже впечатляющими — для разработчиков начального уровня.
Келлер публично работал под псевдонимом «eratos1122», но когда он подал заявку на работу в MISO, он использовал, по всей видимости, свое настоящее имя — «Энтони Келлер». В резюме, которым Делонг поделился с CoinDesk, Келлер утверждал, что проживает в Гейнсвилле, штат Джорджия, и что он окончил Университет Феникса со степенью бакалавра в области компьютерной инженерии. (Университет не ответил на запрос о подтверждении того, был ли выпускник с таким именем.)
Резюме Келлера включало подлинные ссылки на предыдущие работы. Среди самых впечатляющих был Yearn Finance, чрезвычайно популярный протокол криптоинвестиций, который предлагает пользователям способ зарабатывать проценты по ряду готовых инвестиционных стратегий. Бантег, основной разработчик Yearn, подтвердил, что Келлер работал над Coordinape, приложением, созданным Yearn для помощи командам в совместной работе и упрощении платежей. (Бантег говорит, что работа Келлера была ограничена Coordinape, и у него не было доступа к основной кодовой базе Yearn.)
Келлер направил Груича в MISO, и, по словам Делонга, они представились как «друзья». Как и Келлер, Груич предоставил резюме со своим предполагаемым настоящим именем, а не сетевым псевдонимом «AristoK3». Он утверждал, что он из Сербии и что он выпускник Белградского университета со степенью бакалавра в области компьютерных наук. Его учетная запись на GitHub была активна, а в резюме был указан опыт работы с несколькими небольшими криптопроектами и игровыми стартапами.
Рэйчел Чу, бывший главный разработчик Sushi, тесно сотрудничавшая с Келлером и Груичем до ограбления, заявила, что она «подозрительно отнеслась» к этой паре еще до взлома.
Несмотря на заявления о том, что они находятся в разных частях света друг от друга, у Груича и Келлера «был одинаковый акцент» и «одинаковая манера писать сообщения», сказала Чу. «Каждый раз, когда мы разговаривали, у них был какой-то фоновый шум, как будто они на фабрике», добавила она. Чу вспомнила, что видела лицо Келлера, но никогда — Груича. По словам Чу, камера Келлера была «приближена», так что она не могла разглядеть, что находится позади него.
Келлер и Груич в конечном итоге прекратили вносить свой вклад в MISO примерно в одно и то же время. «Мы думаем, что Энтони и Сава — это один и тот же человек», — сказал Делонг, — «поэтому мы прекращаем им платить». Это был разгар пандемии COVID-19, и не было ничего необычного в том, что удаленные разработчики криптовалют маскировались под нескольких человек, чтобы вытянуть дополнительные деньги из фонда заработной платы.
После того, как Келлер и Груич были уволены летом 2021 года, команда Sushi забыла лишить их доступа к кодовой базе MISO.
2 сентября Груич внедрил вредоносный код на платформу MISO под своим псевдонимом «Aristok3», перенаправив 3 миллиона долларов на новый криптовалютный кошелек, судя по скриншоту, предоставленному CoinDesk.
Анализ записей платежей в блокчейне, проведенный CoinDesk, предполагает потенциальную связь между Келлером, Груичем и Северной Кореей. В марте 2021 года Келлер опубликовал адрес блокчейна в ныне удаленном твите. CoinDesk обнаружил несколько платежей между этим адресом, хакерским адресом Груича и адресами, которые Sushi имел в досье на Келлера. Внутреннее расследование Sushi в конечном итоге пришло к выводу, что адрес принадлежал Келлеру, по словам Делонга.
CoinDesk обнаружил, что указанный адрес отправлял большую часть средств «Джун Каю» (разработчику Iqlusion, который отправлял деньги Ким Сан Ману, находящемуся под санкциями OFAC) и другому кошельку, который, по-видимому, служит прокси-сервером КНДР (поскольку он также платил Киму).
Внутреннее расследование Sushi показало, что эта пара часто использовала IP-адреса в России, где, по данным OFAC, иногда базируются северокорейские ИТ-специалисты из КНДР. Это еще больше подтверждает теорию о том, что Келлер и Груич являются северокорейцами. (Указанный в резюме Келлера номер телефона в США не обслуживается, а его аккаунты на Github и Twitter «eratos1122» удалены.)
Кроме того, CoinDesk обнаружил доказательства того, что Sushi нанял еще одного предполагаемого ИТ-подрядчика из КНДР одновременно с Келлером и Груичем. Разработчик, которого ZachXBT идентифицировал как «Гэри Ли», кодировал под псевдонимом LightFury и направлял свои доходы на «Джун Кай» и другой прокси-адрес, связанный с Кимом.
После того, как Суши публично обвинил в атаке псевдоним Келлера "eratos1122" и пригрозил привлечь ФБР, Груич вернул украденные средства. Хотя может показаться нелогичным, что ИТ-работник КНДР будет беспокоиться о защите поддельной личности, ИТ-работники КНДР, похоже, повторно используют определенные имена и со временем наращивают свою репутацию, внося вклад во многие проекты, возможно, как способ завоевать доверие будущих работодателей.
Кто-то мог решить, что защита псевдонима Энтони Келлера в долгосрочной перспективе будет более прибыльной: в 2023 году, через два года после инцидента с суши, некто по имени «Энтони Келлер» подал заявку в Truflation, компанию Стефана Раста.
Попытки связаться с «Энтони Келлером» и «Савой Груичем» для получения комментариев не увенчались успехом.
Грабежи в стиле КНДР
По данным ООН, за последние семь лет Северная Корея украла более 3 миллиардов долларов в криптовалюте с помощью взломов. Из всех взломов, которые аналитическая фирма Chainalysis отследила в первой половине 2023 года и которые, по ее мнению, связаны с КНДР, «примерно половина из них была связана с кражами, связанными с работниками ИТ», сказала Мадлен Кеннеди, представитель фирмы.
Кибератаки в Северной Корее мало похожи на голливудскую версию хакерства, когда программисты в толстовках с капюшонами взламывают мэйнфреймы, используя сложный компьютерный код и черно-зеленые компьютерные терминалы.
Атаки в стиле КНДР определенно менее технологичны. Обычно они включают в себя некую версию социальной инженерии, когда злоумышленник завоевывает доверие жертвы, которая владеет ключами к системе, а затем извлекает эти ключи напрямую с помощью чего-то столь же простого, как вредоносная ссылка в электронной почте.
«На сегодняшний день мы ни разу не видели, чтобы КНДР совершила настоящий эксплойт», — сказал Монахан. «Это всегда: социальная инженерия, а затем компрометация устройства, а затем компрометация закрытых ключей».
Сотрудники ИТ-отделов имеют все возможности для участия в ограблениях КНДР, либо извлекая личную информацию, которая может быть использована для саботажа потенциальной цели, либо получая прямой доступ к программным системам, переполненным цифровыми деньгами.
Серия совпадений
25 сентября, когда эта статья уже была готова к публикации, CoinDesk запланировал видеозвонок с Rust из Truflation. План состоял в том, чтобы проверить некоторые детали, которыми он поделился ранее.
Взволнованный Раст присоединился к звонку с опозданием в 15 минут. Его только что взломали.
CoinDesk связался с более чем двумя десятками проектов, которые, как оказалось, были обмануты, наняв IT-специалистов из КНДР. Только за последние две недели отчетности были взломаны два из этих проектов: Truflation и приложение для заимствования криптовалюты под названием Delta Prime.
Пока еще слишком рано говорить о том, был ли взлом напрямую связан с непреднамеренным наймом ИТ-специалистов из КНДР.
Первым был взломан Delta Prime 16 сентября. Ранее CoinDesk обнаружил платежи и вклады в код, связывающие Delta Prime с Наоки Мурано, одним из разработчиков, связанных с КНДР, о которых рассказал ZachXBT, анонимный блокчейн-детектив.
Проект потерял более 7 миллионов долларов, официально из-за «скомпрометированного закрытого ключа». Delta Prime не ответила на многочисленные просьбы прокомментировать ситуацию.
Взлом Truflation последовал менее чем через две недели. Раст заметил, что средства утекают из его криптокошелька примерно за два часа до звонка в CoinDesk. Он только что вернулся домой из поездки в Сингапур и пытался понять, что он сделал не так. «Я просто не понимаю, как это произошло», — сказал он. «Все мои блокноты были заперты в сейфе в стене в моем отеле. Все это время я носил с собой мобильный телефон».
Миллионы долларов уходили с личных блокчейн-кошельков Раста, пока он говорил. «Я имею в виду, это действительно отстой. Это школа моих детей; пенсионные взносы».
Truflation и Rust в конечном итоге потеряли около $5 млн. Официальной причиной была кража закрытого ключа.
