Северокорейские разработчики, действующие под вымышленными личностями, все чаще находят работу в криптовалютных и блокчейн-проектах за пределами США. Как заявили в Google Threat Intelligence Group (GTIG), на фоне ужесточения проверок в Соединенных Штатах они переключили внимание на Европу и Великобританию.
По словам советника GTIG Джейми Коллиера (Jamie Collier), новые правила и усиленная проверка права на работу в США заставили сотрудников, связанных с КНДР, искать альтернативу среди европейских работодателей. Одновременно с этим они построили глобальную сеть фальшивых личностей, чтобы увеличить гибкость и скорость операций.
Фальшивые профили и вымышленные резюме
По данным GTIG, поддельные профили ссылаются на дипломы Белградского университета в Сербии и адреса в Словакии. Некоторые из них управляются одновременно под дюжиной разных личин. Такие схемы зафиксированы в Германии и Португалии. Кроме того, Google обнаружила брокеров, предоставляющих поддельные паспорта, а также инструкции по использованию европейских платформ для поиска работы.
Речь идет не только о фронтенде и традиционной разработке. Злоумышленники проникают в проекты, связанные с Solana, смарт-контрактами Anchor и даже платформами на стыке блокчейна и ИИ. Один из примеров — маркетплейс для найма специалистов в сфере блокчейн, в который также попали северокорейские разработчики.
Угроза взломов и вымогательств
Работая под прикрытием, специалисты из КНДР не только получают доступ к внутренней информации, но и зарабатывают на режим. Коллиер утверждает, что речь идёт о рисках промышленного шпионажа, утечек данных и потенциального саботажа.
С октября GTIG фиксирует рост числа вымогательств. Уволенные сотрудники угрожают раскрыть исходный код и конфиденциальные данные, если им не выплатят деньги. Это совпадает с периодом, когда давление на них в США усилилось, и, по мнению экспертов, таким образом они пытаются сохранить финансовые потоки.
Связь с криптоиндустрией и санкциями
По данным расследования блокчейн-аналитика ZachXBT, в августе 2024 года северокорейские разработчики зарабатывали около $500 тыс. в месяц, работая в легальных криптопроектах.
При этом сообщается, что злоумышленники пытались получить доступ к чувствительным данным через поддельные звонки в Zoom. Аналитики зафиксировали как минимум три таких случая.
Хакеров из КНДР также подозревают во взломе биржи Bybit, ущерб от которого оценивается в $1.5 млрд. После этого биржа OKX на время отключила работу своего DEX-агрегатора из-за подозрений в возможном отмывании украденных средств через его сервисы.
Ответ со стороны США, Южной Кореи и Японии
На фоне обострения ситуации министерство юстиции США в январе предъявило обвинения двум гражданам КНДР. Им вменяется участие в мошеннической IT-схеме, охватившей 64 американские компании за период с апреля 2018 по август 2024 года.
Параллельно Управление по контролю за иностранными активами Минфина США (OFAC) наложило санкции на ряд компаний, которые, по данным властей, используются КНДР в качестве прикрытия для удаленной работы.
14 января Южная Корея, США и Япония выступили с совместным заявлением, осудив кибератаки со стороны Пхеньяна. В документе указано, что в 2024 году КНДР похитила криптовалюту на сумму $6.6 млрд. В этот список входят атаки на DMM Bitcoin, Upbit, Rain Management, а также WazirX и Radiant Capital. Страны пообещали усилить координацию по кибербезопасности, поскольку действия КНДР, по их словам, угрожают стабильности глобальной финансовой системы.
Данный пост носит исключительно информационный характер и не является рекламой или инвестиционным советом. Пожалуйста, проводите собственное исследование, принимая какие-либо решения.