3 Minuty
Przegląd: Ujawnione Urządzenie Odsłania Grupę Hakerską z Korei Północnej
Przejęcie urządzenia należącego do północnokoreańskiego informatyka umożliwiło ujawnienie zorganizowanej operacji wymierzonej w projekty kryptowalutowe, której kulminacją był czerwcowy (2025) atak na platformę fan-tokenów Favrr. Analityk on-chain ZachXBT prześledził aktywność portfeli kryptowalut, odciski cyfrowe oraz dane ze zrzutów ekranu, eksportów z Dysku Google i profili Chrome znalezionych na skompromitowanym komputerze. Jeden z adresów portfela, 0x78e1a, został powiązany bezpośrednio ze środkami skradzionymi podczas incydentu z Favrr.
Szczegóły Operacji: Fałszywe Tożsamości, Praca Zdalna i Narzędzia Google
Śledztwo wykazało, że zespół sześciu osób zarządzał co najmniej 31 fikcyjnymi tożsamościami. Aby zdobyć wiarygodne stanowiska w branży blockchain, zbierali rządowe dokumenty tożsamości i numery telefonów, a także kupowali konta LinkedIn i Upwork, by wspierać swoje legendy. Skrypty rozmów kwalifikacyjnych przechowywane na urządzeniu sugerowały wcześniejsze doświadczenie przy dużych projektach, takich jak Polygon Labs, OpenSea czy Chainlink.
Praca na Usługach Google i Dostęp Zdalny
Centralnym elementem pracy zespołu były narzędzia Google. Arkusze Drive służyły do zarządzania budżetem i harmonogramami, profile Chrome pomagały kontrolować dostęp do kont, a Tłumacz Google ułatwiał komunikację między językiem koreańskim a angielskim. Na urządzeniu znaleziono także arkusze dokumentujące wynajem komputerów i płatności za usługi VPN, wykorzystywane do zakładania nowych kont operacyjnych.
Sposoby Maskowania Lokalizacji i Zdalnej Kontroli
Grupa korzystała z oprogramowania do zdalnej obsługi, takiego jak AnyDesk, umożliwiając sterowanie systemami klientów bez ujawniania swojej faktycznej lokalizacji. Logi VPN pokazały, że ruch sieciowy przekierowywano przez różne regiony, aby zamaskować północnokoreańskie adresy IP. Tego typu techniki pozwalały uzyskiwać dostęp do repozytoriów kodu, systemów zaplecza i infrastruktur portfeli, minimalizując ryzyko wykrycia.
Modus Operandi: Praca Zdalna jako Brama do Ataku
Badacze bezpieczeństwa wielokrotnie zwracali uwagę na metodę zatrudniania północnokoreańskich informatyków na zdalnych stanowiskach, umożliwiającą uzyskanie dostępu do ekosystemu kryptowalut. Podszywając się pod freelancerów, aktorzy ci zdobywają uprzywilejowany dostęp do wrażliwych środowisk deweloperskich. Dokumenty znalezione na przejętym urządzeniu obejmowały notatki z rozmów i materiały przygotowawcze, przeznaczone prawdopodobnie do wykorzystania podczas wideokonferencji z pracodawcami, co podkreślało zaawansowanie stosowanych technik socjotechnicznych.
Szerokie Konsekwencje dla Bezpieczeństwa Blockchain
Poza atakiem na Favrr, przejęte materiały pokazały, że zespół prowadził badania dotyczące wdrażania tokenów na różnych blockchainach, analizował firmy z branży AI w Europie oraz typował kolejne cele z obszaru kryptowalut. Dla giełd kryptowalutowych, platform tokenowych i projektów blockchain przypadek ten podkreśla znaczenie drobiazgowej weryfikacji zdalnych pracowników, warstwowych mechanizmów dostępu, monitorowania repozytoriów kodu oraz wdrażania skutecznych zabezpieczeń portfeli w celu ochrony przed zagrożeniami związanymi z działaniem wewnętrznym.
Wnioski
Incydent z Favrr i ujawnione urządzenie pokazują, że skoordynowane, zaawansowane grupy potrafią wykorzystać socjotechnikę, fałszywe tożsamości i popularne narzędzia chmurowe, aby infiltrować firmy z branży kryptowalut. Segmentacja dostępu do środowisk programistycznych, silna weryfikacja tożsamości i monitorowanie podejrzanej aktywności portfeli są kluczowe dla ochrony przed podobnymi atakami w przyszłości.
Źródło: crypto
Komentarze