Як Північна Корея проникла в Крипто

• CoinDesk виявив більше десятка Крипто , які несвідомо найняли ІТ-працівників з Корейської Народно-Демократичної Республіки (КНДР), включаючи такі добре відомі блокчейн-проекти, як Injective, ZeroLend, Fantom, SUSHI, Yearn Фінанси і Cosmos Hub.
• Працівники використовували підроблені посвідчення особи, успішно проходили співбесіди, проходили перевірку рекомендацій і надавали справжні трудові історії.
• Наймання працівників КНДР суперечить закону США та інших країн, які вводять санкції проти Північної Кореї. Це також становить загрозу безпеці: CoinDesk зіткнувся з кількома прикладами компаній, які наймали ІТ-працівників з КНДР і згодом були зламані.
• «Усі намагаються відфільтрувати цих людей», — сказав Закі Маніан, відомий розробник блокчейнів, який каже, що він випадково найняв двох ІТ-працівників КНДР для допомоги в розробці блокчейну Cosmos Hub у 2021 році.

Крипто Truflation була ще на ранніх стадіях у 2023 році, коли засновник Стефан Руст несвідомо найняв свого першого північнокорейського співробітника.

«Ми завжди шукали хороших розробників», — сказав Руст зі свого дому в Швейцарії. Несподівано « ONE розробник натрапив на лінію».

"Рюхей" надіслав своє резюме через Telegram і заявив, що живе в Японії. Незабаром після того, як його найняли, почали виявлятися дивні невідповідності.

У ONE момент «я розмовляв із хлопцем, і він сказав, що постраждав від землетрусу», — згадує Руст. За винятком того, що нещодавно в Японії не було землетрусу. Потім працівник почав пропускати дзвінки, а коли з’явився, «це був T він», — сказав Раст. «Це був хтось інший». Хто б це не був, утратив японський акцент.

Невдовзі Руст Навчання , що «Рюхей» і четверо інших співробітників – більше третини всієї його команди – були північнокорейцями. Мимоволі Rust став жертвою скоординованої схеми Північної Кореї, щоб забезпечити віддалених закордонних робочих місць для своїх людей і направляти прибутки назад до Пхеньяну.

Нещодавно влада США посилила свої попередження про те, що працівники інформаційних Технології (ІТ) Північної Кореї проникають у технологічні компанії, включно з роботодавцями Крипто , і використовують виручені кошти для фінансування програми ядерної зброї держави-ізгоя. За словами а Звіт ООН за 2024 рік, ці ІТ-працівники щорічно заробляють режиму Кім Чен Ина 600 мільйонів доларів.

Наймання та оплата праці працівників – навіть ненавмисно – порушує санкції ООН і є незаконним у США та багатьох інших країнах. Це також становить серйозну загрозу безпеці, оскільки відомо, що північнокорейські хакери націлюються на компанії через таємних працівників.

Розслідування CoinDesk тепер показує, наскільки агресивно та часто претенденти на роботу в Північній Кореї націлювалися, зокрема, на Крипто – успішно проходили співбесіди, проходили перевірку рекомендацій і навіть представляли вражаючі історії внесків коду в сховище програмного забезпечення з відкритим кодом GitHub.

CoinDesk поспілкувався з більш ніж десятком Крипто , які заявили, що ненавмисно найняли ІТ-працівників з Корейської Народно-Демократичної Республіки (КНДР), як офіційно називається країна.

Ці інтерв’ю із засновниками, дослідниками блокчейну та експертами галузі показують, що ІТ-працівники Північної Кореї набагато більше поширені в Крипто , ніж вважалося раніше. Практично кожен менеджер з найму, до якого CoinDesk звернувся за цією історією, визнав, що вони опитували підозрюваних північнокорейських розробників, найняли їх мимоволі або знали когось, хто це робив.

«Відсоток ваших вхідних резюме або людей, які просять роботу чи бажають зробити свій внесок – будь-що з цього – які, ймовірно, походять із Північної Кореї, перевищує 50% у всій Крипто », – сказав Закі Маніан, видатний розробник блокчейну, який каже, що він випадково найняв двох ІТ-працівників із КНДР, щоб вони допомогли розробити блокчейн Cosmos Hub у 2021 році. «Усі намагаються відфільтрувати цих людей».

Серед мимовільних роботодавців КНДР, визначених CoinDesk, було кілька добре відомих блокчейн-проектів, таких як Cosmos Hub, Injective, ZeroLend, Fantom, SUSHI та Yearn Фінанси. «Це все відбувалося за лаштунками», — сказав Маніан.

Це розслідування є першим випадком, коли будь-яка з цих компаній публічно визнає, що вони ненавмисно найняли ІТ-працівників КНДР.

У багатьох випадках північнокорейські робітники виконували свою роботу так само, як звичайні службовці; тож у певному сенсі роботодавці здебільшого отримували те, за що платили. Але CoinDesk знайшов докази того, що працівники згодом перераховували свою зарплату на блокчейн-адреси, пов’язані з урядом Північної Кореї.

Розслідування CoinDesk також виявило кілька випадків, коли Крипто , в яких працювали ІТ-працівники КНДР, пізніше стали жертвами хакерів. У деяких із цих випадків CoinDesk зміг LINK крадіжки безпосередньо з підозрюваними ІТ-працівниками КНДР, які працюють у фірмі. Так було з SUSHI, відомим децентралізованим Фінанси протоколом, який втратив 3 мільйони доларів під час хакерського інциденту 2021 року.

Управління контролю за іноземними активами (OFAC) Міністерства фінансів США та Міністерство юстиції почало оприлюднювати спроби Північної Кореї проникнути в Крипто США у 2022 році. CoinDesk знайшов докази того, що ІТ-працівники КНДР почали працювати в Крипто під фальшивими іменами задовго до цього, принаймні ще в 2018 році.

«Багато людей, я думаю, перебувають під помилковим враженням, що це щось нове, що раптово сталося», — сказав Манян. «Є облікові записи GitHub та інші речі з цими людьми, які, начебто, повертаються до 2016, 2017, 2018 років». (GitHub, що належить корпорації Майкрософт, — це онлайн-платформа, яка використовується багатьма програмними організаціями для розміщення коду та дозволяє розробникам співпрацювати.)

CoinDesk зв’язав ІТ-працівників КНДР з компаніями за допомогою різних методів, включаючи записи про платежі в блокчейні, внески публічного коду GitHub, електронні листи від урядовців США та інтерв’ю безпосередньо з цільовими компаніями. ONE з найбільших північнокорейських платіжних мереж, досліджену CoinDesk, виявив ZachXBT, дослідник блокчейну, який опублікував список підозрюваних розробників з КНДР в серпні.

Раніше роботодавці зберігали мовчання через побоювання щодо небажаного розголосу чи правових наслідків. Тепер, зіткнувшись із великою кількістю платіжних записів та іншими доказами, знайденими CoinDesk, багато з них вирішили виступити та вперше поділитися своїми історіями, викриваючи приголомшливий успіх і масштаб зусиль Північної Кореї проникнути в Крипто .

Фальшиві документи

Після найму Рюхея, нібито японського працівника, Rust's Truflation отримав потік нових претендентів. Лише за кілька місяців Rust мимоволі найняв ще чотирьох розробників з КНДР, які заявили, що вони розташовані в Монреалі, Ванкувері, Х’юстоні та Сінгапурі.

Крипто особливо придатний для саботажу з боку ІТ-працівників Північної Кореї. Робоча сила особливо глобальна, і Крипто , як правило, зручніше, ніж інші, наймаючи повністю віддалених – навіть анонімних – розробників.

CoinDesk переглянув заявки на роботу в КНДР, які Крипто отримували з різних джерел, включаючи платформи обміну повідомленнями, як-от Telegram і Discord, спеціалізовані на криптографії дошки вакансій, як-от Крипто Jobs List, і сайти найму на кшталт Indeed.

«Їм найбільше пощастило взяти на роботу ці справді нові, нові команди-вискочки, які готові найняти Discord», — сказав Тейлор Монахан, менеджер із продуктів у додатку для Крипто гаманців MetaMask, який часто публікує дослідження безпеки, пов’язані з Крипто Північної Кореї. «У них T процесів найму людей із перевіркою репутації. Вони часто готові платити Крипто ».

Руст сказав, що він провів власну перевірку всіх нових співробітників Truflation. «Вони надіслали нам свої паспорти та ID картки, надали нам репозиториї GitHub, пройшли тестування, а потім, по суті, ми їх залучили».

Для недосвідченого ока більшість підроблених документів виглядають невідрізними від справжніх паспортів і віз, хоча експерти сказали CoinDesk , що вони, ймовірно, були б спіймані професійними службами перевірки минулого.

Хоча стартапи рідше використовують професійну перевірку біографії, «ми також бачимо північнокорейських ІТ-працівників у великих компаніях, або як справжніх співробітників, або принаймні як підрядників», — сказав Монахан.

Ховається на виду

У багатьох випадках CoinDesk виявив ІТ-працівників КНДР у компаніях, які використовують загальнодоступні дані блокчейну.

У 2021 році Маніану, розробнику блокчейнів, потрібна була допомога в його компанії Iqlusion. Він шукав програмістів-фрілансерів, які могли б допомогти з проектом з оновлення популярного блокчейну Cosmos Hub. Він знайшов двох новобранців; вони доставили вміло.

Маніан ніколи не зустрічався з фрілансерами «Jun Kai» і «Sarawut Sanit» особисто. Раніше вони працювали разом над проектом програмного забезпечення з відкритим вихідним кодом, який фінансував THORChain, тісно пов’язана мережа блокчейнів, і вони сказали Manian, що вони базуються в Сінгапурі.

«Я спілкувався з ними майже щодня протягом року», — сказав Манян. «Вони виконали роботу. І я був, чесно кажучи, дуже задоволений».

Через два роки після того, як фрілансери завершили свою роботу, Маніан отримав електронний лист від агента ФБР, який розслідував перекази токенів, які, здається, надходили від Iqlusion на передбачувані адреси північнокорейських Крипто . Перекази, про які йдеться, виявилися платежами Iqlusion Каю та Саніту.

ФБР ніколи не підтверджувало Маніану, що розробники, яких він найняв, були агентами КНДР, але перевірка CoinDesk блокчейн-адрес Кая та Саніта показала, що протягом 2021 та 2022 років вони спрямовували свої прибутки двом особам зі списку санкцій OFAC: Кім Санг Ман і Сім Хьон Соп.

За даними OFAC, Сім є представником Kwangson Banking Corp, північнокорейського банку, який відмиває кошти ІТ-працівників, щоб допомогти «Фінанси програми ЗМЗ і балістичних ракет КНДР». Саравут, здається, має спрямував усі свої заробітки до Sim та інших блокчейн-гаманців, пов’язаних із Sim.

Кай, тим часом, зібрав майже 8 мільйонів доларів прямо до Кіма. За словами а Повідомлення OFAC за 2023 рік, Кім є представником керованої КНДР компанії Chinyong Information Технології Cooperation Company, яка «через підконтрольні їй компанії та їхніх представників наймає делегації ІТ-працівників КНДР, які працюють у Росії та Лаосі».

Заробітна плата Iqlusion для Кая становила менше 50 000 доларів із майже 8 мільйонів доларів, які він надіслав Кіму, а частина коштів, що залишилися, надійшла від інших Крипто .

Наприклад, CoinDesk виявив платежі від Fantom Foundation, який розробляє широко використовуваний блокчейн Fantom , на користь "Jun Kai" та іншого розробника, пов'язаного з КНДР.

«У 2021 році Fantom ідентифікував двох зовнішніх співробітників, пов’язаних із Північною Кореєю», — сказав CoinDesk представник Fantom Foundation. «Однак розробники, про яких йдеться, працювали над зовнішнім проектом, який так і не був завершений і не розгорнутий».

За даними Fantom Foundation, «дві особи, про яких йдеться, були припинені, вони ніколи не додавали жодного шкідливого коду та ніколи не мали доступу до кодової бази Fantom, і жоден користувач Fantom не постраждав». За словами прес-секретаря, ONE із працівників КНДР спробував атакувати сервери Fantom, але зазнав невдачі, оскільки у нього не було необхідного доступу.

Відповідно до База даних OpenSanctions, пов’язані з КНДР блокчейн-адреси Кіма не були опубліковані жодним урядом до травня 2023 року – більше ніж через два роки після того, як Iqlusion і Fantom здійснили свої платежі.

Дана свобода дій

США та ООН санкціонували наймання ІТ-працівників КНДР у 2016 та 2017 роках відповідно.

Незаконно платити північнокорейським робітникам у США, незалежно від того, чи знаєте ви це чи ні — юридична концепція називається «суворою відповідальністю».

Також T обов’язково має значення, де розташована компанія: наймання працівників із КНДР може нести юридичні ризики для будь-якої компанії, яка веде бізнес у країнах, які застосовують санкції проти Північної Кореї.

Однак США та інші країни-члени ООН ще не переслідували Крипто за наймання північнокорейських ІТ-працівників.

Міністерство фінансів США почало розслідування щодо Iqlusion, яка базується в США, але Манян каже, що розслідування завершилося без будь-яких санкцій.

Влада США поблажливо ставилася до висунення звинувачень проти фірм – певною мірою визнаючи, що вони стали жертвами, у кращому випадку, надзвичайно продуманого та витонченого типу шахрайства з ідентифікацією, або, у гіршому, тривалої афери найпринизливішого роду.

Крім юридичних ризиків, платити ІТ-працівникам КНДР також «погано, тому що ви платите людям, яких фактично експлуатує режим», пояснив Монахан з MetaMask.

За даними Ради безпеки ООН Звіт на 615 сторінокІТ-працівники КНДР KEEP лише невелику частину своєї зарплати. «Тому, хто заробляє менше, KEEP 10 відсотків, а тим, хто KEEP більше, — 30 відсотків», — йдеться у звіті.

Хоча ці зарплати все ще можуть бути високими порівняно із середнім показником у Північній Кореї, «мені T , де вони живуть», — сказав Монахан. «Якщо я комусь плачу, і вони буквально змушені відправляти всю свою зарплату своєму начальнику, це зробить мене дуже незручним. Мені буде ще більше незручно, якщо їхнім босом буде, знаєте, режим Північної Кореї».

Під час звітування CoinDesk звернувся до кількох підозрюваних ІТ-працівників КНДР, але не отримав відповіді.

Виходить вперед

CoinDesk виявив понад два десятки компаній, які найняли можливих ІТ-працівників КНДР, проаналізувавши записи про платежі блокчейну організаціям, які перебувають під санкціями OFAC. Дванадцять компаній, наданих із записами, підтвердили CoinDesk , що вони раніше виявили підозрюваних ІТ-працівників КНДР у своїх платіжних відомостях.

Деякі відмовилися від подальших коментарів, побоюючись юридичних наслідків, але інші погодилися поділитися своїми історіями з надією, що інші зможуть Навчання з їхнього досвіду.

У багатьох випадках співробітників КНДР виявилося легше ідентифікувати після того, як вони були прийняті на роботу.

Ерік Чен, генеральний директор Injective, децентралізованого проекту, орієнтованого на фінансування, сказав, що у 2020 році він уклав контракт з розробником-фрілансером, але швидко звільнив його через низьку продуктивність.

«Він T недовго», — сказав Чень. «Він писав поганий код, який T працював». T в минулому році, коли американське «урядове агентство» зв’язалося з Injective, Чень дізнався, що співробітник був пов’язаний з Північною Кореєю.

Кілька компаній повідомили CoinDesk , що вони звільнили співробітника, навіть не дізнавшись про будь-які зв’язки з КНДР – скажімо, через неякісну роботу.

«Заробітна плата молока за кілька місяців»

Однак ІТ-працівники КНДР схожі на типових розробників тим, що їхні здібності можуть відрізнятися.

З ONE боку, у вас будуть працівники, які «з’являться, пройдуть співбесіду та просто доять зарплату за кілька місяців», — сказав Маніан. «Є й інша сторона цього, яка полягає в тому, що ви стикаєтеся з цими людьми, у яких, коли ви берете в них інтерв’ю, виявляєте, що їхні фактичні технічні навики дуже сильні».

Руст нагадав, що в Truflation був «ONE дійсно хороший розробник», який стверджував, що він із Ванкувера, але виявився з Північної Кореї. «Він справді був маленьким хлопцем, — сказав Раст. «Здавалося, що він щойно закінчив коледж. BIT позеленів за вухами, надзвичайно гострий, дуже радий працювати над можливістю».

В іншому випадку Cluster, децентралізований Фінанси стартап, звільнив двох розробників у серпні після того, як ZachXBT надав докази їхнього зв’язку з КНДР.

«Насправді божевільно, як багато знали ці хлопці», — сказав CoinDesk засновник Cluster під псевдонімом z3n. Оглядаючись назад, були деякі «явні червоні прапори». Наприклад, «кожні два тижні вони змінювали свою платіжну адресу, і приблизно щомісяця вони змінювали ім’я в Discord або Telegram».

Веб-камера вимкнена

У розмові з CoinDesk багато роботодавців сказали, що вони помітили відхилення, які стали більш зрозумілими, коли вони дізналися, що їхні працівники, ймовірно, північнокорейці.

Іноді натяки були ледве помітними, як-от години роботи співробітників, які T збігалися з їх передбачуваним місцем роботи.

Інші роботодавці, як-от Truflation, помітили натяки на те, що працівник — це кілька людей, які маскуються під одну особу — те, що працівник намагався приховати, вимикаючи веб-камеру. (Вони майже завжди чоловіки).

ONE компанія найняла працівника, який з’являвся на нараду вранці, але, здавалося, забув усе, що обговорювалося пізніше протягом дня – примха, яка мала більше сенсу, коли роботодавець зрозумів, що вона розмовляла з кількома людьми.

Коли Руст висловив свої занепокоєння щодо Рюхея, свого «японського» співробітника, інвестору з досвідом відстеження злочинних платіжних мереж, інвестор швидко ідентифікував чотирьох інших підозрюваних ІТ-працівників із КНДР, які працюють у Truflation.

«Ми негайно розірвали наші зв’язки», — сказав Раст, додавши, що його команда провела перевірку безпеки свого коду, вдосконалила процеси перевірки даних і змінила певні політики. ONE нова Політика полягала в тому, щоб віддалені працівники вмикали свої камери.

Злом на 3 мільйони доларів

Багато роботодавців, з якими консультувався CoinDesk , мали помилкове враження, що ІТ-працівники КНДР працюють незалежно від хакерського підрозділу Північної Кореї, але дані блокчейну та розмови з експертами показують, що хакерська діяльність режиму та ІТ-працівники часто пов’язані.

У вересні 2021 року MISO, платформа, створена SUSHI для запуску Крипто , втратила 3 ​​мільйони доларів у широко розповсюджене пограбування. CoinDesk знайшов докази того, що атака була пов’язана з наймом Sushi двох розробників із платіжними записами блокчейну, пов’язаними з Північною Кореєю.

На момент злому SUSHI була ONE з найбільш обговорюваних платформ у світі децентралізованих Фінанси (DeFi), що розвивається. Понад 5 мільярдів доларів було внесено в Sushiswap, який в основному служить «децентралізованим обміном», за допомогою якого люди можуть обмінюватися між криптовалютами без посередників.

Джозеф Делонг, головний Технології директор Sushi на той час, простежив пограбування MISO до двох позаштатних розробників, які допомогли створити його: осіб під іменами Ентоні Келлер і Сава Груїч. Делонг сказав, що розробники, яких він тепер підозрює, були однією людиною чи організацією, впровадили шкідливий код у платформу MISO, перенаправляючи кошти на контрольований ними гаманець.

Коли Келлер і Груїч уклали контракт із SUSHI DAO, децентралізованою автономною організацією, яка керує протоколом SUSHI , вони надали облікові дані, які здавалися досить типовими – навіть вражаючими – для розробників початкового рівня.

Келлер діяв під псевдонімом «eratos1122» на публіці, але коли він подав заявку на роботу в MISO, він використав своє справжнє ім’я «Ентоні Келлер». У резюме, яке Делонг поділився з CoinDesk, Келлер стверджував, що проживає в Гейнсвіллі, штат Джорджія, і закінчив Університет Фенікса зі ступенем бакалавра комп’ютерної інженерії. (Університет T відповів на Request щодо підтвердження того, чи є випускник з таким іменем.)

Резюме Келлера містило справжні посилання на попередню роботу. Серед найбільш вражаючих був Yearn Фінанси, надзвичайно популярний протокол Крипто , який пропонує користувачам спосіб заробити відсотки за допомогою ряду готових інвестиційних стратегій. Banteg, Core розробник Yearn, підтвердив, що Келлер працював над Coordinape, додатком, створеним Yearn, щоб допомогти командам співпрацювати та полегшити платежі. (Бантег каже, що робота Келлера була обмежена Coordinape, і він T мав доступу до Core кодової бази Yearn.)

За словами Делонга, Келлер направив Груїча до MISO, і вони назвали себе «друзями». Як і Келлер, Груїч надав резюме зі своїм нібито справжнім іменем, а не псевдонімом в Інтернеті «AristoK3». Він стверджував, що походить із Сербії та закінчив Белградський університет зі ступенем бакалавра інформатики. Його обліковий запис GitHub був активним, а в його резюме вказано досвід роботи з кількома меншими Крипто та ігровими стартапами.

Рейчел Чу, колишній Core розробник у SUSHI , яка тісно співпрацювала з Келлером і Груїчем до пограбування, сказала, що вона «підозрила» цю пару ще до того, як відбувся будь-який злом.

Незважаючи на те, що вони стверджували, що вони живуть по ONE земній кулі, Груїч і Келлер «мали однаковий акцент» і «однаковий спосіб обміну текстовими повідомленнями», сказав Чу. «Кожного разу, коли ми розмовляли, у них був якийсь фоновий шум, ніби вони на фабриці», — додала вона. Чу згадав, що бачив обличчя Келлера, але ніколи не бачив обличчя Груїча. За словами Чу, камера Келлер була «збільшена», щоб вона ніколи T могла розгледіти, що було позаду нього.

Зрештою Келлер і Груїч припинили співпрацю з MISO приблизно в той самий час. «Ми думаємо, що Ентоні і Сава — один і той самий хлопець, — сказав Делонг, — тому ми перестаємо їм платити». Це був розпал пандемії COVID-19, і це було нечуваним випадком, коли віддалені Крипто маскувались під кількох людей, щоб отримати додаткові гроші із заробітної плати.

Після того, як Келлера та Груїча звільнили влітку 2021 року, команда SUSHI не звернула увагу на те, щоб скасувати їхній доступ до кодової бази MISO.

2 вересня Груїч замістив зловмисний код на платформі MISO під псевдонімом Aristok3, перенаправивши 3 мільйони доларів на новий Криптовалюта гаманець на основі знімка екрана, наданого CoinDesk.

Аналіз записів платежів у блокчейні CoinDesk свідчить про потенційний LINK між Келлером, Груїчем і Північною Кореєю. У березні 2021 року Келлер розміщено адреса блокчейну у видаленому твіті. CoinDesk виявлено кілька платежів між цією адресою, адресою хакера Ґруїча та адресами, які SUSHI записала для Келлера. За словами Делонга, внутрішнє розслідування Sushi зрештою дійшло висновку, що ця адреса належить Келлеру.

CoinDesk виявив, що адреса, про яку йде мова, надсилає більшу частину своїх коштів «Jun Kai» (розробнику Iqlusion, який надсилав гроші Кім Санг Ману, який перебуває під санкціями OFAC) та іншому гаманцю, який, здається, служить проксі-сервером КНДР (оскільки він також платив Кім).

Підтверджуючи теорію про те, що Келлер і Груїч були вихідцями з Північної Кореї, внутрішнє розслідування Sushi виявило, що пара часто використовувала IP-адреси в Росії, де, за словами OFAC, іноді базуються ІТ-працівники Північної Кореї з КНДР. (Номер телефону в США в резюме Келлера не працює, а його облікові записи «eratos1122» на Github і Twitter видалено.)

Крім того, CoinDesk виявив докази того, що SUSHI працював інший підозрюваний ІТ-підрядник КНДР одночасно з Келлером і Груїчем. Розробник, ідентифіковано ZachXBT як «Гері Лі», під псевдонімом LightFury і спрямовував свої прибутки на «Jun Kai» та іншу пов’язану з Кімом проксі-адресу.

Після того, як SUSHI публічно списав напад на псевдонім Келлера, "eratos1122", і погрожував залучити ФБР, Груїч повернув викрадені кошти. Хоча може здатися суперечливим, що ІТ-працівник КНДР піклується про захист підробленої особи, здається, що ІТ-працівники КНДР повторно використовують певні імена та з часом зміцнюють свою репутацію, беручи участь у багатьох проектах, можливо, як спосіб заслужити довіру майбутніх роботодавців.

Хтось міг вирішити, що захист псевдоніма Ентоні Келлера в довгостроковій перспективі вигідніший: у 2023 році, через два роки після інциденту з SUSHI , хтось на ім’я «Ентоні Келлер» звернувся до Truflation, компанії Стефана Руста.

Спроби зв’язатися з «Ентоні Келлером» і «Савою Груїчем» для отримання коментаря не увінчалися успіхом.

Пограбування в стилі КНДР

За даними ООН, Північна Корея вкрала Криптовалюта на суму понад 3 мільярди доларів за останні сім років. Зі зломів, які компанія з аналізу блокчейнів Chainalysis відстежила в першій половині 2023 року і які, на її думку, пов’язані з КНДР, «приблизно половина з них стосувалася крадіжок, пов’язаних із ІТ-працівниками», – сказала Мадлен Кеннеді, речник фірми.

Північнокорейські кібератаки T нагадують голлівудську версію хакерства, коли програмісти в балахонах зламують мейнфрейми за допомогою складного комп’ютерного коду та чорно-зелених комп’ютерних терміналів.

Атаки в стилі КНДР явно менш технологічні. Зазвичай вони включають певну версію соціальної інженерії, коли зловмисник завойовує довіру жертви, яка володіє ключами до системи, а потім витягує ці ключі безпосередньо за допомогою чогось такого простого, як шкідливе LINK електронної пошти.

«На сьогоднішній день ми ніколи не бачили, щоб КНДР здійснила справжній подвиг», — сказав Монахан. «Це завжди: соціальна інженерія, а потім компрометація пристрою, а потім компрометація закритих ключів».

ІТ-працівники мають хороші можливості для того, щоб зробити свій внесок у пограбування КНДР, або шляхом вилучення особистої інформації, яка може бути використана для саботажу потенційної цілі, або шляхом отримання прямого доступу до програмних систем, повних цифрової готівки.

Низка випадковостей

25 вересня, коли ця стаття наближалася до публікації, CoinDesk мав запланувати відеодзвінок із Truflation's Rust. План полягав у тому, щоб перевірити деякі деталі, які він поділився раніше.

Схвильований Руст приєднався до дзвінка з 15-хвилинним запізненням. Його щойно зламали.

CoinDesk зв’язався з більш ніж двома десятками проектів, які, здається, були обманом, щоб найняти ІТ-працівників з КНДР. Лише за останні два тижні звітності було зламано два з цих проектів: Truflation і додаток для запозичення Крипто під назвою Дельта PRIME.

Поки рано визначати, чи був той чи інший злом безпосередньо пов’язаний із будь-яким ненавмисним наймом ІТ-працівників КНДР.

Дельта PRIME було порушено першим, 16 вересня. CoinDesk раніше непокриті платежі і внески коду підключення Delta PRIME до Наокі Мурано, ONE із пов’язаних із КНДР розробників оприлюднений від ZachXBT, псевдонімного детектива блокчейну.

Проект втратив понад 7 мільйонів доларів, офіційно тому що "зламаного приватного ключа". Delta PRIME не відповіла на численні запити про коментарі.

Злом Truflation відбувся менш ніж через два тижні. Приблизно за дві години до розмови з CoinDesk Руст помітив, як кошти витікають із його Крипто . Він щойно повернувся додому з поїздки в Сінгапур і намагався зрозуміти, що він зробив не так. "Я просто не знаю, як це сталося", - сказав він. «Усі мої блокноти були замкнені в сейфі в стіні мого готелю. Мобільний весь час був із собою».

Мільйони доларів залишали особисті блокчейн-гаманці Раста, поки він говорив. "Я маю на увазі, це справді відстой. Це школа моїх дітей; пенсія".

Труфляція та іржа остаточно програли близько 5 мільйонів доларів. Офіційна причина – викрадення закритого ключа.