Hotet från Nordkorea mot kryptovalutaindustrin
Varje dag översvämmas Binance av falska CV:n som man misstänker har skrivits av blivande nordkoreanska angripare, berättade kryptovalutabörsens säkerhetschef Jimmy Su för Decrypt. Enligt honom utgör statliga aktörer från Nordkorea det största hotet mot företag inom kryptovalutaindustrin idag.
Nordkoreanska angripares metoder
Su förklarade att nordkoreanska angripare har varit ett problem under börsens åttaåriga existens, men att de nyligen har höjt sin ambitionsnivå när det gäller kryptovaluta. ”Det största hotet mot kryptovalutaindustrin just nu är statliga aktörer, särskilt från DPRK, [med] Lazarus,” sa Su till Decrypt och tillade att ”de har haft ett kryptofokus de senaste två, tre åren och har varit ganska framgångsrika i sina strävanden.”
Han nämnde att ”nästan alla stora DPRK-hack” har involverat en falsk anställd som har hjälpt till att underlätta attacken. Den Demokratiska Folkrepubliken Korea, även känd som DPRK eller Nordkorea, är hem till Lazarus-gruppen, en av de mest produktiva hackerklanerna i världen. Gruppen tros ha varit ansvarig för det beryktade Bybit-hacket på 1,4 miljarder dollar i mars – det största hacken i kryptovaluta-historien, enligt FBI.
Falska CV:n och AI:s roll
Su sa att Binance mestadels har märkt att nordkoreanska angripare försöker få jobb på företaget. Den centraliserade börsen hävdar att de slänger CV:n dagligen, baserat på deras tendens att använda vissa CV-mallar. Företaget var inte villigt att dela fler specifika detaljer om röda flaggor i CV:n med Decrypt.
Om dessa CV:n klarar den initiala bedömningen måste företaget sedan verifiera att sökanden är legitim genom ett videosamtal – en utmaning som bara blir svårare med AI:s framväxt. ”Vår spårning visade tidigare att aktören, operatören, skulle ha ett CV, och de har mestadels antingen ett japanskt eller kinesiskt efternamn,” förklarade Su. ”Men nu, med AI och händelser inom AI, kan de fejka att de är vilken typ av utvecklare som helst. Mer nyligen har vi sett dem vara kandidater från Europa och Mellanöstern.”
Vad de gör är att de faktiskt använder en röstförändrare under sina intervjuer, och videon är en deepfake. ”Den enda verkligt bra upptäckten är att de nästan alltid har en långsam internetanslutning,” tillade han. ”Vad som händer är att översättningen och röstförändraren fungerar under samtalet … det är därför de alltid är försenade.”
Upptäcktsmetoder och säkerhetsåtgärder
Det finns andra sätt som Binance kan upptäcka en nordkoreansk sökande – som att be dem att hålla handen över ansiktet, vilket vanligtvis bryter deepfaken – men Binance vill inte avslöja alla sina knep av rädsla för att angripare kan läsa denna artikel. Andra arbetsgivare har varit kända för att be kandidater att säga något negativt om den nordkoreanska högste ledaren Kim Jong Un, vilket tros vara förbjudet i landet, och har rapporterat positiva resultat.
Binance hävdar att de aldrig har anställt en statlig aktör; dock kan de inte vara helt säkra. Som ett resultat övervakar de även sina nuvarande anställda för misstänkt beteende – något alla finansiella institutioner gör i viss utsträckning. Ironiskt nog, enligt Sus forskning, är DPRK-anställda vanligtvis bland företagets topppresterande i sina roller.
Det finns två andra frekventa angreppssätt som används av nordkoreanska statliga aktörer, sa Su. Ett involverar att förgifta offentliga NPM-bibliotek med skadlig kod, medan det andra ser den avvikande staten göra falska jobberbjudanden till kryptovalutaanställda.
Sammanfattning av hoten
Nordkoreanska hackare stal 1,34 miljarder dollar över 47 kryptorelaterade incidenter förra året, avslöjade en Chainalysis-rapport. Sedan dess har DPRK-attackerna fortsatt, med Wiz:s direktör för strategisk hotintelligens som uppskattar att 1,6 miljarder dollar i kryptovaluta har stulits hittills i år via falska IT-jobberbjudanden. ”Lazarus-gruppen har alltid varit ett problem,” sa Su till Decrypt. ”Men under de senaste två, tre åren har de bytt fokus, mer av sina resurser till kryptovaluta. Bara på grund av branschens [stora] dollarbelopp.”
