2 Minutės
Paviešintas Šiaurės Korėjos IT darbuotojo įrenginys atskleidė organizuotą kibernetinių atakų tinklą prieš kripto projektus. Tyrimas pasiekė kulminaciją po 2025 m. birželio įvykdyto Favrr fan-tokenų prekyvietės išpuolio. Kripto tyrėjas ZachXBT sekė blokų grandinėje vykdytus atsiskaitymus ir skaitmeninius pėdsakus, rastus tarp ekrano nuotraukų, Google Drive eksportuotų duomenų bei Chrome profilių šiame užgrobtame kompiuteryje. Vienas piniginės adresas, 0x78e1a, buvo tiesiogiai susietas su neteisėtai gautomis lėšomis po Favrr įsilaužimo.
Tyrimas atskleidė, kad mažos šešių asmenų grupės nariai sukūrė bent 31 suklastotą tapatybę. Siekdami gauti patikimų blockchain projektų nuotolines darbo pozicijas, jie rinko vyriausybės išduotas tapatybes, telefono numerius, bei pirko LinkedIn ir Upwork paskyras savo legendoms pagrįsti. Įrenginyje rastuose interviu scenarijuose buvo nurodyta darbo patirtis stambiuose kripto projektuose, tokiuose kaip Polygon Labs, OpenSea ar Chainlink.
Google paslaugos buvo pagrindinis grupės darbo įrankis. Drive skaičiuoklėse jie stebėjo biudžetus ir darbo grafikus, Chrome profiliai padėjo valdyti skirtingas paskyras, o Google Translate užtikrino komunikaciją tarp korėjiečių ir anglų kalbų. Be to, rasti dokumentai apie nuomojamus kompiuterius bei VPN mokėjimus, reikalingus naujiems interneto prisijungimams kurti.
Norėdami slėpti savo buvimo vietą ir valdyti tikslinių įmonių sistemas, jie naudojosi nuotolinės prieigos programine įranga, tokia kaip AnyDesk. VPN žurnalai rodė, jog interneto srautas buvo nukreipiamas per kelis regionus, siekiant paslėpti Šiaurės Korėjos IP adresus. Taip jiems pavykdavo nepastebėti naudotis kodų saugyklomis, vidinėmis sistemomis bei kriptovaliutų piniginėmis.
Saugumo ekspertai pabrėžia, kad tokia taktika, kai Šiaurės Korėjos IT specialistai integruojasi į nuotolinius darbus, tampa vis dažnesnė kriptovaliutų industrijoje. Užsimaskavę kaip laisvai samdomi blockchain kūrėjai, jie gauna prieigą prie jautrios infrastruktūros ir kodavimo aplinkų. Įrenginyje rasti interviu scenarijai bei pasiruošimo užrašai demonstruoja itin aukštą socialinės inžinerijos lygį.
Tyrimas parodė, kad be Favrr atakos grupė domėjosi ir kripto žetonų išleidimu skirtingose blokų grandinėse, stebėjo dirbtinio intelekto startuolius Europoje bei sudarinėjo naujų aukų žemėlapius. Svarbiausios išvados kripto biržoms, žetonų prekyvietėms ir blockchain projektams – tai būtinybė taikyti griežtą nuotolinių darbuotojų patikrą, kelių lygių prieigos kontrolę, sistemingą kodų saugyklų monitoringą ir tvirtą piniginių apsaugą, siekiant apsisaugoti nuo panašių insider pažeidimų ateityje.
Favrr ataka ir pažeistas įrenginys atskleidžia koordinuotas, išradingas kibernetines grėsmes, kurios naudoja socialinę inžineriją, pirktas tapatybes ir debesijos įrankius infiltracijai į kripto įmones. Svarbiausios gynybos priemonės – segmentuoti prieigą prie kūrimo procesų, taikyti stiprią darbuotojų tapatybės patikrą bei akyliai stebėti įtartinus piniginių judėjimus.
Šaltinis: crypto
Palikite komentarą