SG.hu
Álláshirdetések mögé bújnak az észak-koreai hackerek
Új kutatások, nyers adatok és interjúk szerint észak-koreai hackerek hitelesnek tűnő állásajánlatokkal árasztják el a kriptovaluta-ipart, hogy digitális pénzt lopjanak. A probléma annyira elterjedt, hogy az álláskeresők ma már rendszeresen ellenőrzik a toborzókat, hogy nem Pyongyang nevében cselekszenek-e. Szakértők, áldozatok és vállalati képviselők egybehangzóan állítják, hogy a probléma mindenütt jelen van.
"Ez velem is többször előfordult, és biztos vagyok benne, hogy mindenkivel megesik, aki ebben a szférában dolgozik” - mondta Carlos Yanez, a svájci székhelyű blokklánc-elemző cég, a Global Ledger üzletfejlesztési vezetője, aki a SentinelOne és a Validin kiberbiztonsági cégek által közzétett adatok szerint a közelmúltban a tolvajok célpontjává vált. Yanez elmondta, hogy bár ő elkerülte a hackelést, az észak-koreaiak által végrehajtott álcázások minősége az elmúlt évben jelentősen javult. „Ijesztő, hogy milyen messzire jutottak” - mondta.
Azok a vádak, hogy Phenjan kifinomult csalásokkal veszi célba a blokklánc világát, nem új keletűek. Tavaly év végén az FBI nyilvános figyelmeztetést adott ki, amelyben kijelentette, hogy Észak-Korea „agresszíven” veszi célba a kriptovaluta-ipart „összetett és kifinomult” társadalmi manipulációs módszerekkel. Bár nincs nyilvánosan elérhető becslés arról, hogy mennyi pénzt szereznek ezzel a taktikával, a blockchain-elemző cég, a Chainalysis szerint az észak-koreai hackerek tavaly legalább 1,34 milliárd dollár értékű kriptovalutát loptak el. Az Egyesült Államok és az ENSZ megfigyelői egyaránt azt állítják, hogy Phenjan a lopásokból származó bevételeket szankcionált fegyverprogramjának finanszírozására fordítja.
Először egy toborzó lép kapcsolatba az áldozattal a LinkedIn vagy a Telegram segítségével, és blokklánccal kapcsolatos állást kínál. "Jelenleg bővítjük csapatunkat” - állt LinkedIn-üzenetben, amelyet egy állítólag a Bitwise Asset Managementet képviselő toborzó küldött Victoria Perepelnek. „Különösen olyan személyeket keresünk, akik lelkesednek a kriptovaluta-piacok iránt.” Miután röviden megbeszélték a feltételezett állást és a fizetést, a toborzó arra ösztönözte a potenciális jelentkezőket, hogy látogassanak el egy ismeretlen weboldalra, ahol egy készségtesztet kell kitölteniük és egy videót kell rögzíteniük. Ekkor több célpont is gyanút fogott.
Miért nem tartanak egyszerűen élő interjút egy jobban ismert videóplatform, például a Google Meet vagy a Zoom segítségével? Ez volt Olof Haglund kifogása, amikor Wieslaw Slizewski, aki állítólag a Robinhood online kereskedési platform technikai toborzója volt, megkereste őt. Slizewski nem engedett, és ragaszkodott ahhoz, hogy Haglund töltse le a videó felvételéhez szükséges kódot. "Strukturált felvételi folyamatot követünk, és a videóértékelés kulcsfontosságú része az értékelésünknek, hogy biztosítsuk az összes jelölt számára az egységességet és a méltányosságot” - írta Slizewski egy LinkedIn-üzenetben.
Haglund végül megszakította az interjút, de mások nem. Egy amerikai kriptovaluta-cég termékmenedzsere, aki névtelenséget kért, elmondta, hogy felvette a videót, és elküldte egy személynek, aki azt állította, hogy a Ripple Labs kriptovaluta-céghez keres munkatársat. Már aznap este rájött, hogy átverték; 1000 dollár értékű éter és Solana hiányzott a számítógépén tárolt digitális pénztárcájából. Amikor megkereste a Ripple állítólagos toborzójának LinkedIn-profilját, az már nem volt ott.
Egy másik esetben Ben Humbert tanácsadó a LinkedIn-en keresztül beszélgetett Mirela Tafili-val, egy állítólag a Kraken kriptovaluta-tőzsde nevében eljáró toborzóval egy projektmenedzseri pozícióról. Tafili megkérte Humberttet, hogy töltsön ki egy „rövid virtuális interjút”, és megadott egy linket, amely Tafili szerint segíteni fog „gyorsítani a folyamatot” és továbbjuttatni őt a következő szakaszba. Humbert elmondta, hogy gyanút fogott, és befejezte a beszélgetést.
A kampányt nyomon követő kutatók több tényező alapján arra a következtetésre jutottak, hogy az észak-koreaiak állnak a háttérben, többek között az internetprotokoll-címek és az e-mailek használata alapján, amelyek korábbi észak-koreai hackertámadásokhoz kapcsolódnak. Pjongjang rendszeresen tagadja, hogy kriptovaluta-lopásokat hajtana végre. A Robinhood nyilatkozata szerint "észlelték a kampányt, amely több kriptovaluta-társaság, köztük a Robinhood nevében próbált csalást elkövetni”, és hogy intézkedéseket tettek a csaláshoz kapcsolódó webdomainok letiltására. A LinkedIn közleményében azt írta, hogy intézkedtek a hamis toborzói fiókok kapcsán. A Telegram szerint a csalásokat mindenhol kiszűrték, ahol csak megtalálták őket.
A SentinelOne és a Validin a lopásokat egy észak-koreai műveletnek tulajdonítja, amelyet korábban a Palo Alto Networks kiberbiztonsági vállalat „Contagious Interview” néven emlegetett. A Contagious Interview potenciális áldozatai Észak-Korea teljes kriptovaluta-lopási tevékenységének csak egy részét képviselik - mondta Aleksandar Milenkoski, a SentinelOne vezető kutatója, aki a jelentés egyik társszerzője volt. „Olyanok, mint egy tipikus csalócsoport” - mondta. „A széles körűségre törekednek.” A nyomozás során a kutatók véletlenül felfedezték a hackerek által nyilvánosságra hozott naplófájlokat, amelyek több mint 230 ember - programozók, influencerek, könyvelők, tanácsadók, vezetők, marketingesek és mások - e-mail- és IP-címét tartalmazták, akiket január és március között támadtak meg. Az egyik, a hackerek által megtévesztett cég szerint ez jellemző a kriptovaluta-szférára. "Minden nap történik valami” - mondta Nick Percoco, a Kraken biztonsági igazgatója.
Percoco, a Kraken vezetője elmondta, hogy a vállalat tavaly év végén kezdett el toborzási csalásokat észlelni, és a jelentések márciusban, áprilisban és májusban is folytatódtak. A vállalat eszközöket használ a toborzóknak álcázott hamis fiókok felkutatására, de fogadja azoknak a külsősöknek a bejelentéseit is, akik felveszik a kapcsolatot velük, és azt mondják: „Hé, interjúra mentem hozzátok, de kiderült, hogy ez egy csalás” - mondta Percoco. Szerinte a vállalatoknak nehéz felügyelni az identitáslopásokat. "Bárki állíthatja azt magáról, hogy toborzó” - mondta.
"Ez velem is többször előfordult, és biztos vagyok benne, hogy mindenkivel megesik, aki ebben a szférában dolgozik” - mondta Carlos Yanez, a svájci székhelyű blokklánc-elemző cég, a Global Ledger üzletfejlesztési vezetője, aki a SentinelOne és a Validin kiberbiztonsági cégek által közzétett adatok szerint a közelmúltban a tolvajok célpontjává vált. Yanez elmondta, hogy bár ő elkerülte a hackelést, az észak-koreaiak által végrehajtott álcázások minősége az elmúlt évben jelentősen javult. „Ijesztő, hogy milyen messzire jutottak” - mondta.
Azok a vádak, hogy Phenjan kifinomult csalásokkal veszi célba a blokklánc világát, nem új keletűek. Tavaly év végén az FBI nyilvános figyelmeztetést adott ki, amelyben kijelentette, hogy Észak-Korea „agresszíven” veszi célba a kriptovaluta-ipart „összetett és kifinomult” társadalmi manipulációs módszerekkel. Bár nincs nyilvánosan elérhető becslés arról, hogy mennyi pénzt szereznek ezzel a taktikával, a blockchain-elemző cég, a Chainalysis szerint az észak-koreai hackerek tavaly legalább 1,34 milliárd dollár értékű kriptovalutát loptak el. Az Egyesült Államok és az ENSZ megfigyelői egyaránt azt állítják, hogy Phenjan a lopásokból származó bevételeket szankcionált fegyverprogramjának finanszírozására fordítja.
Először egy toborzó lép kapcsolatba az áldozattal a LinkedIn vagy a Telegram segítségével, és blokklánccal kapcsolatos állást kínál. "Jelenleg bővítjük csapatunkat” - állt LinkedIn-üzenetben, amelyet egy állítólag a Bitwise Asset Managementet képviselő toborzó küldött Victoria Perepelnek. „Különösen olyan személyeket keresünk, akik lelkesednek a kriptovaluta-piacok iránt.” Miután röviden megbeszélték a feltételezett állást és a fizetést, a toborzó arra ösztönözte a potenciális jelentkezőket, hogy látogassanak el egy ismeretlen weboldalra, ahol egy készségtesztet kell kitölteniük és egy videót kell rögzíteniük. Ekkor több célpont is gyanút fogott.
Miért nem tartanak egyszerűen élő interjút egy jobban ismert videóplatform, például a Google Meet vagy a Zoom segítségével? Ez volt Olof Haglund kifogása, amikor Wieslaw Slizewski, aki állítólag a Robinhood online kereskedési platform technikai toborzója volt, megkereste őt. Slizewski nem engedett, és ragaszkodott ahhoz, hogy Haglund töltse le a videó felvételéhez szükséges kódot. "Strukturált felvételi folyamatot követünk, és a videóértékelés kulcsfontosságú része az értékelésünknek, hogy biztosítsuk az összes jelölt számára az egységességet és a méltányosságot” - írta Slizewski egy LinkedIn-üzenetben.
Haglund végül megszakította az interjút, de mások nem. Egy amerikai kriptovaluta-cég termékmenedzsere, aki névtelenséget kért, elmondta, hogy felvette a videót, és elküldte egy személynek, aki azt állította, hogy a Ripple Labs kriptovaluta-céghez keres munkatársat. Már aznap este rájött, hogy átverték; 1000 dollár értékű éter és Solana hiányzott a számítógépén tárolt digitális pénztárcájából. Amikor megkereste a Ripple állítólagos toborzójának LinkedIn-profilját, az már nem volt ott.
Egy másik esetben Ben Humbert tanácsadó a LinkedIn-en keresztül beszélgetett Mirela Tafili-val, egy állítólag a Kraken kriptovaluta-tőzsde nevében eljáró toborzóval egy projektmenedzseri pozícióról. Tafili megkérte Humberttet, hogy töltsön ki egy „rövid virtuális interjút”, és megadott egy linket, amely Tafili szerint segíteni fog „gyorsítani a folyamatot” és továbbjuttatni őt a következő szakaszba. Humbert elmondta, hogy gyanút fogott, és befejezte a beszélgetést.
A kampányt nyomon követő kutatók több tényező alapján arra a következtetésre jutottak, hogy az észak-koreaiak állnak a háttérben, többek között az internetprotokoll-címek és az e-mailek használata alapján, amelyek korábbi észak-koreai hackertámadásokhoz kapcsolódnak. Pjongjang rendszeresen tagadja, hogy kriptovaluta-lopásokat hajtana végre. A Robinhood nyilatkozata szerint "észlelték a kampányt, amely több kriptovaluta-társaság, köztük a Robinhood nevében próbált csalást elkövetni”, és hogy intézkedéseket tettek a csaláshoz kapcsolódó webdomainok letiltására. A LinkedIn közleményében azt írta, hogy intézkedtek a hamis toborzói fiókok kapcsán. A Telegram szerint a csalásokat mindenhol kiszűrték, ahol csak megtalálták őket.
A SentinelOne és a Validin a lopásokat egy észak-koreai műveletnek tulajdonítja, amelyet korábban a Palo Alto Networks kiberbiztonsági vállalat „Contagious Interview” néven emlegetett. A Contagious Interview potenciális áldozatai Észak-Korea teljes kriptovaluta-lopási tevékenységének csak egy részét képviselik - mondta Aleksandar Milenkoski, a SentinelOne vezető kutatója, aki a jelentés egyik társszerzője volt. „Olyanok, mint egy tipikus csalócsoport” - mondta. „A széles körűségre törekednek.” A nyomozás során a kutatók véletlenül felfedezték a hackerek által nyilvánosságra hozott naplófájlokat, amelyek több mint 230 ember - programozók, influencerek, könyvelők, tanácsadók, vezetők, marketingesek és mások - e-mail- és IP-címét tartalmazták, akiket január és március között támadtak meg. Az egyik, a hackerek által megtévesztett cég szerint ez jellemző a kriptovaluta-szférára. "Minden nap történik valami” - mondta Nick Percoco, a Kraken biztonsági igazgatója.
Percoco, a Kraken vezetője elmondta, hogy a vállalat tavaly év végén kezdett el toborzási csalásokat észlelni, és a jelentések márciusban, áprilisban és májusban is folytatódtak. A vállalat eszközöket használ a toborzóknak álcázott hamis fiókok felkutatására, de fogadja azoknak a külsősöknek a bejelentéseit is, akik felveszik a kapcsolatot velük, és azt mondják: „Hé, interjúra mentem hozzátok, de kiderült, hogy ez egy csalás” - mondta Percoco. Szerinte a vállalatoknak nehéz felügyelni az identitáslopásokat. "Bárki állíthatja azt magáról, hogy toborzó” - mondta.