北朝鲜国籍嫌疑人渗透区块链初创公司
美国乔治亚州北区的联邦检察官周一宣布,四名北朝鲜国籍的嫌疑人渗透了一家位于亚特兰大的区块链初创公司,假冒远程开发者的身份盗取了近100万美元的加密货币。这一指控源于一项涉及五项电信欺诈和洗钱的起诉书。
作案手法与盗窃过程
被告最初在阿联酋作为一个团队活动,随后以远程IT工作人员的身份渗透美国和塞尔维亚的加密公司。在获得信任后,他们在2022年的两起事件中分别盗取了17.5万美元和74万美元,并通过混合器和交易所利用假身份证明文件进行洗钱。
区块链分析公司Chainalysis的国家安全负责人安德鲁·费尔曼(Andrew Fierman)告诉Decrypt,这些被称为“北朝鲜IT工作人员”的嫌疑人通过“嵌入这些组织”来“收集情报、操控安全协议,甚至促进内部泄密”。
复杂的洗钱操作
被盗的加密货币通过一系列复杂的交易消失,这些交易旨在掩盖其来源——这是北朝鲜多年来精炼的复杂操作手册。美国司法部尚未立即回应Decrypt的置评请求。费尔曼表示,这些战术形成了“越来越成为标准操作程序的模式”。
伪造身份与招聘漏洞
他解释说,威胁行为者通过“伪造文件”被雇佣,并“掩盖他们与北朝鲜的联系”。除了将报酬“寄回政权”,这些工作人员还“耐心等待机会,访问他们渗透的Web3公司的资金,以便进一步盗窃”。这一计划暴露了加密货币远程工作文化中的一个漏洞,许多全球招聘的公司可能会跳过背景调查,使得拥有假身份的国家支持行为者能够利用这些空白。
区块链安全公司Hexens的威胁研究员弗拉基米尔·索博列夫(Vladimir Sobolev)告诉Decrypt:“不幸的是,许多团队避免面对面会议,更倾向于雇佣更‘便宜’的开发者,而不是我们行业内知名的人士。这是一个根本性的问题。”
长期的网络行动与执法行动
索博列夫将北朝鲜的网络行动描述为“长期努力”,并指出该国早在区块链和Web3流行之前就已参与这些活动。本月早些时候,联邦检察官在一项民事诉讼中详细说明了“数千万美元在更大规模的北朝鲜IT工作者加密计划中被利用”的情况,费尔曼分享了Decrypt审阅的相关文件。
在一份单独的新闻稿中,美国司法部表示,已在16个州进行协调突袭,查获了29个金融账户、21个虚假网站和约200台支持北朝鲜IT计划的“笔记本电脑农场”的计算机,包括上述四名嫌疑人。这些执法行动揭示了北朝鲜特工如何利用这些笔记本电脑农场作为远程访问点,使得操作人员能够修改智能合约并提取加密资金,同时看似在美国境内工作。
保护措施与未来展望
费尔曼警告说:“组织识别这些威胁并保护自己将至关重要。”
