Su Šiaurės Korėja susiję operatoriai daug metų tyliai integravosi į kriptovaliutų įmones ir DeFi komandas, sukeldami naujų susirūpinimą dėl viešai neatskleistos rizikos po virtinės didelės vertės išnaudojimų, susietų su šalies kibernetiniu aparatu.
Santrauka
- Pasak saugumo tyrinėtojo, su Šiaurės Korėja susiję kūrėjai per pastaruosius septynerius metus dirbo daugiau nei 40 DeFi projektų.
- Tyrėjai ir pramonės dalyviai perspėja, kad daugelis bandymų įsiskverbti priklauso nuo paprastos, bet atkaklios taktikos, pasitelkiant įdarbinimo kanalus ir socialinę inžineriją.
Saugumo tyrinėtojas ir „MetaMask“ kūrėjas Tayloras Monahanas teigė, kad šios taktikos siekia ankstyvąsias decentralizuoto finansavimo dienas, kai asmenys, susiję su Korėjos Liaudies Demokratine Respublika, prisidėjo prie kelių plačiai naudojamų protokolų.
„Daugelis KLDR IT darbuotojų sukūrė jums žinomus ir mėgstamus protokolus iki pat DeFi vasaros“, – sakė ji sekmadienį ir pridūrė, kad daugiau nei 40 platformų, įskaitant kelis gerai žinomus projektus, tam tikru momentu rėmėsi tokiais kūrėjais.
Tačiau ji pažymėjo, kad „septynerių metų „blockchain dev“ patirtis“, nurodyta jų gyvenimo aprašymuose, „nėra melas“.
Pasak R3ACH analitikų, tyrėjai Šiaurės Korėjos kibernetines operacijas jau seniai siejo su „Lazarus Group“ – valstybės remiamu kolektyvu, kuris, kaip manoma, nuo 2017 metų pavogė skaitmeninio turto už maždaug 7 mlrd.
Grupė buvo siejama su kai kuriais didžiausiais pramonės pažeidimais, įskaitant 625 mln. USD vertės Ronino tilto išnaudojimą 2022 m., 235 mln. USD įsilaužimą „WazirX“ 2024 m. ir 1,4 mlrd. USD vertės „Bybit“ incidentą 2025 m.
Praėjusią savaitę 280 mln. USD vertės „Drift Protocol“ išnaudojimas sulaukė naujo dėmesio. Projekte teigiama, kad „vidutiniškai labai pasitiki“, kad už išpuolį buvo su Šiaurės Korėjos valstybe susijusi grupuotė, siejant incidentą su platesniu įsiskverbimu ir socialine inžinerija.
Tačiau akis į akį iki pažeidimo įvyko ne Šiaurės Korėjos piliečiai, o „trečiųjų šalių tarpininkai“, naudojantys „visiškai sukurtą tapatybę, įskaitant darbo istorijas, viešus įgaliojimus ir profesinius tinklus“.
Šie profiliai apėmė užimtumo istoriją, viešuosius įgaliojimus ir aktyvius profesinius tinklus, leidžiančius jiems sukurti pasitikėjimą per asmeninę sąveiką prieš prasidedant išnaudojimui.
Nepriklausomas blokų grandinės tyrėjas ZachXBT neseniai paskelbtame X įraše perspėjo, kad ne visos grėsmės, susijusios su Šiaurės Korėja, veikia tokio paties sudėtingumo lygiu.
„Pagrindinė problema yra ta, kad visi juos sugrupuoja, kai grėsmių sudėtingumas skiriasi“, – sakė jis.
Daugelį bandymų įsiskverbti jis apibūdino kaip gana paprastus, pasikliaujančius atkaklumu, o ne techniniu sudėtingumu. Tebėra įprasta susisiekti su darbo skelbimais, „LinkedIn“, el. paštu, „Zoom“ skambučiais ir pokalbiais.
„Paprastas ir jokiu būdu neįmantrus (…) vienintelis dalykas yra tai, kad jie yra negailestingi“, – sakė jis ir pridūrė, kad komandos, kurios 2026 m. ir toliau naudos tokią taktiką, rizikuoja būti laikomos aplaidžiomis.
