Thomasa Danielsa
Niedawne ustalenia eksperta ds. cyberbezpieczeństwa ZachXBT ujawniły wyrafinowany program kradzieży i prania pieniędzy północnokoreański Pracownicy IT udający programistów kryptowalut. Operacja, która doprowadziła do kradzieży 1.3 miliona dolarów ze skarbca projektu, ujawniła sieć ponad 25 skompromitowanych projektów kryptograficznych aktywnych od czerwca 2024 r.
Dochodzenie ZachXBT wskazuje na pojedynczy podmiot, prawdopodobnie działający w Korei Północnej, który otrzymywał od 300,000 500,000 do XNUMX XNUMX dolarów miesięcznie za jednoczesną infiltrację wielu projektów kryptograficznych przy użyciu fałszywych tożsamości.
Program kradzieży i prania pieniędzy
Incydent wyszedł na światło dzienne, gdy anonimowy zespół projektowy zwrócił się o pomoc do ZachXBT po tym, jak z ich skarbca skradziono 1.3 miliona dolarów. Nieświadomy tego zespół zatrudnił wielu północnokoreańskich pracowników IT, którzy dołączyli do projektu przy użyciu fałszywych tożsamości.
Skradzione środki zostały szybko wyprane w drodze serii skomplikowanych transakcji. Obejmowały one transfer środków na adres kradzieży, połączenie aktywów z Solana do Ethereum za pośrednictwem deBridge, zdeponowanie 50.2 ETH w Tornado Cash i ostatecznie przeniesienie 16.5 ETH na dwie różne giełdy.
Mapowanie sieci
Dalsze dochodzenie ujawniło, że programiści ci byli częścią większej, zorganizowanej sieci. ZachXBT prześledził wiele adresów płatności, odkrywając grupę 21 programistów, którzy łącznie otrzymali około 375,000 XNUMX dolarów tylko w zeszłym miesiącu.
Dochodzenie to powiązało również bieżącą działalność z poprzednimi transakcjami na kwotę 5.5 mln dolarów, które zostały przekazane na adres depozytowy giełdy w okresie od lipca 2023 r. do 2024 r. Transakcje te były powiązane z północnokoreańskimi pracownikami IT i Sim Hyon Sop, co jest kwotą już usankcjonowaną przez USA. Biuro Kontroli Aktywów Zagranicznych Skarbu Państwa (OFAC). Dochodzenie ujawniło pokrywanie się adresów IP powiązanych z Russian Telecom, mimo że twórcy twierdzili, że mają siedzibę w USA i Malezji.
W jednym przypadku programista nieumyślnie ujawnił podczas nagrywania inne tożsamości, co doprowadziło do dalszych powiązań między adresami płatności a osobami objętymi sankcjami OFAC, w tym Sang Man Kim i Sim Hyon Sop. Dochodzenie podkreśliło również rolę firm rekrutacyjnych w umieszczaniu tych programistów na stanowiskach, co stanowi kolejny poziom złożoności. W niektórych projektach zatrudnionych było co najmniej trzech północnokoreańskich pracowników IT, którzy polecali się sobie nawzajem, pogłębiając infiltrację sieci.
Środki zapobiegawcze
ZachXBT podkreślił, że wiele doświadczonych zespołów nieświadomie zatrudniło oszukańczych programistów, co sprawia, że niesprawiedliwe jest obwinianie wyłącznie tych zespołów. Istnieje jednak kilka środków zapobiegawczych, które mogą pomóc w ochronie przed takimi zagrożeniami. Należą do nich:
- Zachowuj ostrożność, gdy programiści polecają sobie nawzajem role.
- Dokładna analiza CV i weryfikacja informacji KYC.
- Zadawanie szczegółowych pytań na temat lokalizacji wybranych przez deweloperów.
- Monitorowanie programistów, którzy po zwolnieniu pojawiają się ponownie na nowych kontach.
- Obserwuj spadek wydajności w miarę upływu czasu.
- Regularne przeglądanie dzienników pod kątem anomalii.
- Zachowaj ostrożność wobec programistów korzystających z popularnych zdjęć profilowych NFT.
- Zwrócenie uwagi na akcenty językowe, które mogą sugerować pochodzenie w Azji.
Kroki te mają kluczowe znaczenie dla zabezpieczenia projektów kryptograficznych przed podobnymi zagrożeniami w przyszłości.
