Een zes maanden durend onderzoek, ondersteund door de Ethereum Basis, heeft onthuld hoe Noord-Koreaanse agenten zich stilletjes inbedden in tientallen Web3-groepen onder valse identiteiten.
Abstract
- Ethereum Basis ondersteunde een onderzoek van zes maanden waarbij 100 Noord-Koreaanse agenten binnen Web3-bedrijven werden herkend.
- Ketman Undertaking waarschuwde 53 cryptogroepen na het traceren van zogenaamde ontwikkelaarsidentiteiten en verdachte GitHub-oefeningen.
- Onderzoekers brachten het monster in verband met langdurige infiltratie in de DVK, gekoppeld aan belangrijke exploits waarbij de Lazarus-groep betrokken was.
De Ethereum Basis verklaarde donderdag dat haar ETH Rangers-initiatief een op veiligheid gerichte inspanning financierde waarbij 100 mensen werden erkend die verbonden waren met de Democratische Volksrepubliek Korea en die binnen cryptobedrijven werkten. De programmadat eind 2024 werd gelanceerd, was bedoeld om publieke items te helpen werken door middel van stipendia voor onpartijdige onderzoekers.
Een bepaald type ontvangers gebruikte de financiering om de Ketman Undertaking te lanceren, die zich richtte op het monitoren van ‘nep-ontwikkelaars’ die binnen Web3-organisaties werkten. In de loop van zes maanden heeft de uitdaging 100 vermoedelijke IT-medewerkers van de DVK onder de aandacht gebracht en 53 crypto-initiatieven bereikt die hen onbewust in dienst hebben genomen.
“Dit werk richt zich rechtstreeks op een van de meest urgente operationele veiligheidsbedreigingen waarmee het Ethereum-ecosysteem vandaag de dag wordt geconfronteerd”, aldus de muze.
Bevindingen dragen bij aan een toenemend bewijsmateriaal waaruit blijkt dat met Noord-Korea verbonden bouwers zich jarenlang hebben ingebed in de cryptohandel, waarbij ze zich meestal in groepen hebben gemengd door middel van geloofwaardige technische bijdragen en verzonnen bekwame identiteiten.
Veiligheidsonderzoeker en MetaMask-ontwikkelaar Taylor Monahan heeft dat vooraf gedaan gezegd Een dergelijke oefening dateert opnieuw uit de vroege DeFi-periode, waarbij aan de DVK gelinkte bouwers bijdroegen aan uitgebreid gebruikte protocollen.
“Veel IT-medewerkers uit de DVK hebben de protocollen gebouwd die je kent en waar je van houdt, helemaal terug naar de DeFi-zomer”, zei ze, en merkte op dat meer dan 40 platforms op totaal verschillende factoren op dergelijke bijdragers hebben vertrouwd. Beweringen over intensieve expertise zijn meestal niet altijd verzonnen, voegde ze eraan toe en zei dat hun “zeven jaar ervaring met blockchain-ontwikkeling” “geen leugen” is.
Onderzoekers hebben deze operaties voortdurend in verband gebracht met de Lazarus Group, een door de staat gesteund collectief dat betrokken is bij enkele van de grootste cryptodiefstallen van de afgelopen tijd. Schattingen van R3ACH-analisten schatten het totale gestolen geld op ongeveer 7 miljard dollar sinds 2017, samen met aanvallen zoals de 625 miljoen dollar kostende Ronin Bridge-exploit, de 235 miljoen dollar WazirX-inbreuk en het Bybit-incident van 1,4 miljard dollar.
Gemakkelijke manieren, aanhoudende uitvoering
Ongeacht de omvang van de schade zijn veel infiltratiepogingen redelijkerwijs afhankelijk van relatief primaire strategieën dan van superieure exploits. Analisten zeggen volharding, sociale engineeringen identificatielagen zijn doorgaans eenvoudiger dan technische verfijning.
De onpartijdige blockchain-onderzoeker ZachXBT zei dat veel van deze operaties “basaal en op geen enkele manier geavanceerd” zijn, en dat “het enige eraan is dat ze meedogenloos zijn.” Outreach vindt soms plaats door middel van functies, LinkedIn-profielen, elektronische postuitwisseling en interviews op afstand, waardoor agenten regelmatig binnen groepen geloof kunnen opbouwen.
De laatste incidenten hebben bewezen hoe ver dergelijke manieren kunnen gaan. De exploit van Drift Protocol ter waarde van 280 miljoen dollar was gekoppeld aan een aan Noord-Korea gelieerde groep, waarbij aanvallers gebruik maakten van tussenpersonen en absoluut bekwame identiteiten om de geloofwaardigheid te bepalen voordat ze de inbreuk uitvoerden.
Karmozijnrode vlaggen en detectie-inspanningen ontwikkelen zich
Gegevens uit de Ketman Undertaking maken duidelijk hoe deze agenten binnen de verbetergroepen blijven. Veel voorkomende indicatoren zijn onder meer het hergebruiken van avatars of profielmetagegevens in een aantal GitHub-accounts, het onbedoeld blootleggen van niet-gerelateerde elektronische mailadressen tijdens het delen van schermen, en het gebruik van systeemtaalinstellingen die in tegenspraak zijn met de beweerde nationaliteiten.
Naast het onderzoekswerk ontwikkelde de Challenge open-sourcesoftware die is ontworpen om verdachte GitHub-oefeningen te signaleren. Het was bovendien co-auteur van een handelsraamwerk voor het opsporen van aan de DVK gelinkt IT-personeel in samenwerking met de Safety Alliance.
“DagelijksCrypto is niet verantwoordelijk voor activiteiten die u buiten DagelijksCrypto uitvoert.”
