Tómas Daníels
Nýlegar niðurstöður netöryggissérfræðingsins ZachXBT hafa leitt í ljós háþróað þjófnaðar- og þvottakerfi sem felur í sér Norður-Kóreu Upplýsingatæknistarfsmenn gefa sig út fyrir að vera dulmálshönnuðir. Aðgerðin, sem leiddi til þjófnaðar á 1.3 milljónum dala úr ríkissjóði verkefnis, hefur afhjúpað net yfir 25 dulritunarverkefna sem hafa verið í hættu sem eru virk síðan í júní 2024.
Rannsókn ZachXBT bendir á eina aðila, sem líklega starfar frá Norður-Kóreu, sem hefur fengið á milli $300,000 og $500,000 mánaðarlega með því að síast samtímis inn í mörg dulmálsverkefni með því að nota fölsuð auðkenni.
Þjófnaðar- og þvottakerfi
Atvikið kom í ljós þegar nafnlaust verkefnisteymi leitaði aðstoðar ZachXBT eftir að 1.3 milljónum dala var stolið úr ríkissjóði þeirra. Óvitandi hafði teymið ráðið marga norður-kóreska upplýsingatæknistarfsmenn sem notuðu fölsuð auðkenni til að taka þátt í verkefninu.
Stolið fé var fljótt þvegið með röð flókinna viðskipta. Þetta innihélt að flytja fjármunina á þjófnaðarheimili, brúa eignir frá Solana til Ethereum í gegnum deBridge, leggja 50.2 ETH inn í Tornado Cash og að lokum flytja 16.5 ETH til tveggja mismunandi kauphalla.
Kortlagning netsins
Frekari rannsókn leiddi í ljós að þessir verktaki voru hluti af stærra, skipulögðu neti. ZachXBT rakti mörg greiðsluföng og afhjúpaði þyrping 21 þróunaraðila sem saman fengu um það bil $375,000 á síðasta mánuði einum.
Þessi rannsókn tengdi einnig núverandi starfsemi við fyrri færslur upp á 5.5 milljónir Bandaríkjadala, sem voru færðar inn á innlánsstað á milli júlí 2023 og 2024. Þessi viðskipti tengdust norður-kóreskum upplýsingatæknistarfsmönnum og Sim Hyon Sop, tölu sem þegar hefur verið refsað af Bandaríkjunum Skrifstofa ríkissjóðs um eftirlit með erlendum eignum (OFAC). Rannsóknin leiddi í ljós varðandi skörun á IP-tölum sem tengjast rússneskum síma, jafnvel þó að verktaki hafi haldið því fram að þeir séu staðsettir í Bandaríkjunum og Malasíu.
Í einu tilviki afhjúpaði þróunaraðili óvart önnur auðkenni á meðan hann var tekinn upp, sem leiddi til frekari tenginga milli greiðslufönga og OFAC-viðurkenndra einstaklinga, þar á meðal Sang Man Kim og Sim Hyon Sop. Rannsóknin lagði einnig áherslu á hlutverk ráðningarfyrirtækja við að setja þessa þróunaraðila og bætti við öðru flóknu lagi. Í sumum verkefnum störfuðu að minnsta kosti þrír norður-kóreskir upplýsingatæknistarfsmenn sem vísuðu hver öðrum, sem dýpkaði íferð netsins.
Fyrirbyggjandi aðgerðir
ZachXBT lagði áherslu á að mörg reynd teymi hafi óafvitandi ráðið villandi forritara, sem gerir það ósanngjarnt að kenna liðunum eingöngu um. Hins vegar eru nokkrar fyrirbyggjandi aðgerðir sem geta hjálpað til við að verjast slíkum ógnum. Þar á meðal eru:
- Sýndu varúð þegar forritarar vísa hver öðrum fyrir hlutverk.
- Skoða ferilskrár og sannreyna KYC upplýsingar vandlega.
- Að spyrja ítarlegra spurninga um staðsetningar þróunaraðila sem krafist er.
- Eftirlit með hönnuðum sem birtast aftur undir nýjum reikningum eftir að hafa verið rekinn.
- Horfa á samdrátt í frammistöðu með tímanum.
- Skoða reglulega annála fyrir frávik.
- Vertu varkár við þróunaraðila sem nota vinsælar NFT prófílmyndir.
- Taktu eftir tungumálahreim sem gæti bent til uppruna í Asíu.
Þessi skref eru mikilvæg til að vernda dulritunarverkefni gegn svipuðum ógnum í framtíðinni.
