币安首席安全官谈北朝鲜的网络威胁
币安的首席安全官Jimmy Su在接受Decrypt采访时表示,币安每天都会收到大量假简历,这些简历很可能是由北朝鲜的攻击者撰写的。他认为,来自北朝鲜的国家行为者是当前加密行业面临的最大威胁。Su解释说,北朝鲜的攻击者在币安八年的运营历史中一直是一个问题,但最近,他们在加密领域的攻击手法有所升级。
“目前对加密行业的最大威胁是国家行为者,特别是来自朝鲜民主主义人民共和国(DPRK)的Lazarus集团,”Su告诉Decrypt,并补充道:“在过去的两到三年里,他们对加密的关注度显著提高,并且在他们的努力中取得了相当大的成功。”
他还提到,“几乎所有大型DPRK黑客攻击”都涉及到一名假员工协助实施攻击。
DPRK黑客的攻击手法
朝鲜民主主义人民共和国,简称DPRK或北朝鲜,是Lazarus集团的发源地,该集团是全球最活跃的黑客组织之一。该组织被认为是三月份发生的Bybit 14亿美元黑客事件的幕后黑手,这一事件被FBI称为加密历史上最大的黑客攻击。
Su表示,币安主要注意到北朝鲜的攻击者试图在公司求职。该中心化交易所声称每天都会筛选简历,主要是因为这些简历使用了特定的模板。该公司不愿向Decrypt透露更多关于简历的红旗细节。
如果这些简历通过了初步筛选,公司还需要通过视频通话确认申请者的身份,而这在AI技术日益发展的背景下变得愈加困难。“我们的追踪数据显示,攻击者通常会有一份简历,他们的姓氏大多是日本或中国的,”Su解释道。“但现在,随着AI的发展,他们能够伪装成任何类型的开发者。”最近,他们的候选人来自欧洲和中东。他们在面试时实际上会使用变声器,而视频则是深度伪造的。
“唯一有效的检测方法是,他们几乎总是有一个缓慢的互联网连接,”他补充道。“发生的情况是,翻译和变声器在通话中同时工作……这就是为什么他们总是有延迟。”
币安的防范措施
币安还有其他方法可以识别北朝鲜申请者,例如要求他们用手遮住脸,这通常会破坏深度伪造效果,但币安不想透露所有的技巧,以免攻击者看到这篇文章而有所警觉。其他雇主也曾要求候选人说一些对北朝鲜最高领导人金正恩的负面评价,认为这在该国是违法的,并报告称取得了积极的结果。
币安声称从未雇佣过国家行为者;然而,他们也不能完全确定。因此,他们甚至会监控现有员工的可疑行为——这是所有金融机构在某种程度上都会做的。
讽刺的是,根据Su的研究,DPRK员工通常是公司在特定岗位上的顶尖表现者。这可能是因为在多个时区内可能有多个人在做同一份工作,他解释道。因此,币安会追踪员工的工作时间和产出。如果一名员工似乎从未休息,这可能是他们属于臭名昭著的Lazarus集团的迹象。
其他攻击方式
Su表示,北朝鲜国家行为者还经常使用两种其他攻击方式。一种是通过恶意代码污染公共NPM库,另一种是向加密员工发送虚假的工作邀请。Node Package Manager(NPM)库是开发者经常使用的可重用代码集合。恶意攻击者可以复制这些包,并插入一小行代码,这可能会造成严重后果,同时保持其原有功能。如果这段恶意代码被发现一次,它将随着开发者在其上构建而不断深入系统,Su说。为了防止这个问题,币安必须仔细检查代码。主要的加密交易所还通过Telegram和Signal群组共享与安全相关的情报,这意味着他们能够与同行标记被污染的库和新兴的DPRK技术。
“DPRK集团还会试图与外部员工安排通话,”Su告诉Decrypt。“无论是作为DeFi项目还是投资公司。更糟糕的是,他们会以高薪招聘他们,支付两到三倍的薪水,只是为了让他们参加面试。”
在假面试中,Su解释道,DPRK黑客会声称通话存在“某种视频或语音问题”,然后向受害者发送更新Zoom的链接。随后,他表示,他们的设备会被感染恶意软件。
网络钓鱼与攻击统计
币安已培训员工报告每一次针对他们的网络钓鱼尝试。根据这些报告的频率,Su对DPRK攻击者每天都在LinkedIn上联系币安员工的情况充满信心。根据Chainalysis的报告,北朝鲜黑客去年在47起与加密相关的事件中盗取了13.4亿美元。此后,DPRK的攻击仍在持续,Wiz的战略威胁情报总监估计,今年迄今为止通过虚假的IT工作邀请已盗取了16亿美元的加密货币。
“Lazarus集团一直是一个问题,”Su告诉Decrypt。“但在过去的两到三年里,他们将更多的资源转向了加密领域,仅仅是因为这个行业的资金量巨大。”
