Tudomány és technológia

Hogyan használják az észak-koreai hackerek hamis állásajánlatokat kriptovaluta ellopására

Save article
Hogyan használják az észak-koreai hackerek hamis állásajánlatokat kriptovaluta ellopására

DETROIT/WASHINGTON (Reuters) – Az észak-koreai hackerek hiteles állásajánlatokkal telítik meg a kriptovaluta-ipart, hogy digitális pénzt lopjanak el kampányuk részeként, új kutatások, nyers adatok és interjúk szerint.

A probléma annyira gyakorivá válik, hogy az állásjelentkezők ma már rendszeresen szűrik a toborzókat, hátha nem keresik a jeleket, hogy talán Phenjan nevében járnak el. Huszonöt szakértő, áldozat és vállalati képviselő, akikkel a Reuters beszélt, egyetértett abban, hogy a probléma mindenütt jelen van.

"Ez velem állandóan megtörténik, és biztos vagyok benne, hogy mindenkivel megtörténik ezen a területen" – mondta Carlos Yanez, a svájci székhelyű Global Ledger blokklánc-elemző cég üzletfejlesztési vezetője, aki a tolvajok nemrégiben célpontja volt – a SentinelOne és Validin kiberbiztonsági cégek adatai szerint, akik csütörtökön közzéteszik a kiberkampányról szóló jelentést.

Yanez úr elmondta, hogy bár elkerülte a feltörést, az észak-koreaiak által végzett álarcos játékok minősége az elmúlt évben jelentősen javult. "Ijesztő, milyen messzire jutottak," mondta.

Bár nincs nyilvánosan elérhető becslés arra, hogy pusztán ezen taktikán mennyi pénzt juttatnak el, úgy vélik, hogy az észak-koreai hackerek tavaly legalább 1,34 milliárd dollár értékű kriptovalutát loptak el – a Chainalysis blokklánc intelligencia cég szerint. Az amerikai és az ENSZ megfigyelői egyaránt azt állították, hogy Phenjan a lopásokat felhasználja szankcionált fegyverprogramjának támogatására.

Az a vád, hogy Pjonjan kifinomult átverésekkel célozza meg a blokklánc világot, nem újdonságok. Tavaly év végén a Szövetségi Nyomozó Hivatal nyilvános figyelmeztetést adott ki, amelyben azt mondta, hogy Észak-Korea "agresszíven" célozza meg a kriptovaluta-ipart "összetett és kidolgozott" társadalmi mérnökségi rendszerekkel. Azonban a Reuters jelentése, amelyet hét célpont a hackerekkel folytatott beszélgetéseikről készült képernyőképekkel is megerősített, korábban nem jelentett részleteket ad arról, hogyan csapják be célpontjaikat, valamint részletes elemzést a taktikákról.

Először egy toborzó LinkedInen vagy Telegramon keresztül keres egy blokklánchoz kapcsolódó állásajánlatot. "Jelenleg bővítjük csapatunkat" – mondta egy január 20-án Victoria Perepelnek küldött LinkedIn-üzenet, amelyet egy toborzó küldött a Bitwise Asset Management-nek. "Különösen olyan embereket keresünk, akik szenvedélyesen érdeklődnek a kriptovaluta piacok iránt."

Rövid párbeszéd után a feltételezett állásról és a fizetésről a toborzó arra ösztönözte a leendő jelentkezőket, hogy látogassák el egy ismeretlen weboldalt, hogy végezzenek egy készségtesztet és videót készítsenek. Ekkor több célpont is gyanússá vált.

Miért ne adnánk egyszerűen élő interjút egy ismertebb videóplatformon, mint például a Google Meet-en vagy a Zoomon? Ezt az ellenvetést tette fel Olof Haglund, a gépi tanulási vállalkozó január 21-én, amikor Wieslaw Slizewski megkereste, aki azt állította, hogy a Robinhood nevű online kereskedési platformról származó technikai toborzó.

Slizewski úr nem engedett, ragaszkodva ragaszkodott hozzá, hogy Mr. Haglund töltse le a kódot a videó forgatásához.

"Strukturált felvételi folyamatot követünk, és a videóértékelés kulcsfontosságú része az értékelésünknek, hogy minden jelölt számára biztosítsuk a következetességet és igazságosságot" – mondta Mr. Slizewski LinkedIn-es üzenetben.

Mr. Haglund végül lemondta az interjút, de mások nem. Egy amerikai kriptovalutavállalat termékmenedzsere, aki névtelenséget kért, mert nem akarta álláskeresőként ismert lenni, elmondta, hogy felvette a videót, és továbbította egy olyan személynek, aki azt állította, hogy a Ripple Labs kriptovaluta céghez toborzott. Csak azon az este, amikor rájött, hogy 1000 dollár értékű éter és Solana hiányzik a számítógépén tartott digitális pénztárcából, rájött, hogy átverték. Amikor megkereste a állítólagos Ripple toborzó LinkedIn profilját, az már eltűnt.

Egy másik esetben Ben Humbert tanácsadó LinkedInen beszélgetett Mirela Tafilivel, egy toborzóval, aki azt állítja, hogy a Kraken kriptotőzsde nevében dolgozik egy projektmenedzser szerep kapcsán. Tafili asszony arra kérte Humbert urat, hogy készítsen egy "rövid virtuális interjút", és adott egy linket, amely Tafili asszony szerint segít nekik "felgyorsítani a folyamatot" és átjuttatni a következő szakaszba. Mr. Humbert azt mondta, gyanakodni kezdett, és megszakította a beszélgetést.

A Ripple és a Bitwise nem válaszolt kommentárt kérő üzenetekre. Egy közleményben a Robinhood azt mondta, hogy "tudában van egy idén korábban történt kampányról, amely több kriptocéget, köztük a Robinhoodot is megpróbálta megszemélyesíteni", és hogy lépéseket tett a csaláshoz kapcsolódó webdomainek letiltására. A LinkedIn közleményében azt írta, hogy a Reuters által azonosított hamis toborzó fiókokat "korábban felügyelték." A Telegram szerint a csalásokat mindenhol kiszűrték, ahol megtalálták őket. A Reuters kísérletei a hackerekkel való elérésre sikertelenek voltak.

A SentinelOne és a Validin a lopásokat egy észak-koreai műveletnek tulajdonítják, amelyet korábban a Palo Alto Networks kiberbiztonsági cég "Fertőző interjúnak" nevezett. A kampányt nyomon követő kutatók több tényező alapján arra a következtetésre jutottak, hogy az észak-koreaiak álltak mögötte, többek között az internetes protokoll címek és korábbi észak-koreai hackelésekhez kapcsolódó e-mailek használata.

Vizsgálatuk részeként a kutatók olyan naplófájlokat tártak fel, amelyeket a hackerek véletlenül felfedtek, és amelyek több mint 230 ember e-mail és IP-címét mutatták – kódolók, influenszerek, könyvelők, tanácsadók, vezetők, marketingesek és mások – január és március között célzott meg.

A Reuters minden célpontot értesített, hogy figyelmeztesse őket a rosszindulatú tevékenységre. A hírügynökségnek beszélő tizenkilenc mind megerősítették, hogy ekkor célba kerültek a célba. Az egyik cég, akit a hackerek személyesen kineveztek, azt mondta, ez tipikus a kriptopiacra.

"Minden nap történik valami," mondta Nick Percoco, a Kraken főbiztonsági tisztje.

Észak-Korea ENSZ-missziója nem válaszolt a Reuters megállapításaihoz fűződő üzenetekre. Phenjan rendszeresen tagadja, hogy kriptovalutalopásokat hajtott végre.

A Reuters által azonosított célpontok csak "apró töredéke" voltak a Contagious Interview lehetséges áldozatainak, ami pedig Észak-Korea kriptovaluta-lopási erőfeszítéseinek egy részét képviseli – mondta Aleksandar Milenkoski, a SentinelOne vezető kutatója, aki a jelentés egyik társszerzője volt.

"Olyanok, mint egy tipikus átverő csoport," mondta. "A szélességre mennek."

Percoco úr, a Kraken vezetője elmondta, hogy a cég tavaly év végén kezdte el látni a toborzási csalásokat, és a jelentések március, április és május között is fennmaradtak. A cég eszközöket használ hamis fiókok keresésére, toborzónak álcázva magát, de külső személyek is befogadják a jelentéseket, akik felveszik a kapcsolatot, hogy azt mondják: "Hé, interjúztam egy állásra veletek, aztán igazán átverő lett" – mondta Percoco úr.

Azt mondta, hogy a cégeknek nehéz ellenőrizniük az álomolást.

"Bárki mondhatja, hogy toborzó," mondta.

Related Stories

FREE SUBSCRIPTION

Learn the why behind the headlines.

Subscribe to The Real Truth for FREE news and analysis.