ภัยคุกคามจากผู้โจมตีชาวเกาหลีเหนือในอุตสาหกรรมคริปโต
ทุกวัน Binance จะได้รับเรซูเม่ปลอมจำนวนมากที่พวกเขามั่นใจว่าเขียนโดยผู้โจมตีชาวเกาหลีเหนือที่มีแนวโน้มจะเป็นไปได้ หัวหน้าฝ่ายความปลอดภัยของการแลกเปลี่ยนคริปโต Jimmy Su กล่าวกับ Decrypt ว่า ผู้เล่นจากรัฐชาติในเกาหลีเหนือเป็นภัยคุกคามที่ใหญ่ที่สุดที่บริษัทในอุตสาหกรรมคริปโตต้องเผชิญในปัจจุบัน
การโจมตีที่เพิ่มขึ้น
Su อธิบายว่า ผู้โจมตีชาวเกาหลีเหนือเป็นปัญหาตลอดระยะเวลาแปดปีของการดำเนินงานของการแลกเปลี่ยน แต่เมื่อเร็ว ๆ นี้ แฮกเกอร์ได้ยกระดับการโจมตีในด้านคริปโต
“ภัยคุกคามที่ใหญ่ที่สุดในปัจจุบันต่ออุตสาหกรรมคริปโตคือผู้เล่นจากรัฐ โดยเฉพาะใน DPRK [พร้อมกับ] Lazarus”
Su กล่าวกับ Decrypt พร้อมเสริมว่า
“พวกเขามีความมุ่งเน้นในด้านคริปโตในช่วงสองสามปีที่ผ่านมาและประสบความสำเร็จในความพยายามของพวกเขาอย่างมาก”
กลยุทธ์การโจมตี
เขาเสริมว่า
“เกือบทั้งหมดของการแฮกใหญ่ ๆ จาก DPRK”
เกี่ยวข้องกับพนักงานปลอมที่ช่วยอำนวยความสะดวกในการโจมตี สาธารณรัฐประชาธิปไตยประชาชนเกาหลี หรือที่เรียกว่า DPRK หรือเกาหลีเหนือ เป็นบ้านของกลุ่ม Lazarus ซึ่งเป็นหนึ่งในกลุ่มแฮกเกอร์ที่มีชื่อเสียงที่สุดในโลก กลุ่มนี้เชื่อว่ามีส่วนรับผิดชอบต่อการแฮก Bybit มูลค่า 1.4 พันล้านดอลลาร์ในเดือนมีนาคม ซึ่งเป็นการแฮกที่ใหญ่ที่สุดในประวัติศาสตร์คริปโต ตามข้อมูลของ FBI
การตรวจสอบผู้สมัคร
Su กล่าวว่า Binance สังเกตเห็นผู้โจมตีชาวเกาหลีเหนือพยายามสมัครงานที่บริษัทเป็นส่วนใหญ่ การแลกเปลี่ยนแบบรวมศูนย์อ้างว่าทิ้งเรซูเม่ทุกวัน โดยอิงจากแนวโน้มในการใช้เทมเพลตเรซูเม่บางประเภท บริษัทไม่ยินดีที่จะเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับสัญญาณเตือนเรซูเม่กับ Decrypt หากเรซูเม่เหล่านั้นผ่านการตรวจสอบเบื้องต้น บริษัทจะต้องตรวจสอบว่าผู้สมัครเป็นของจริงในการโทรวิดีโอ ซึ่งเป็นความท้าทายที่ยิ่งยากขึ้นเรื่อย ๆ เนื่องจากการเพิ่มขึ้นของ AI
การใช้ AI ในการปลอมตัว
“การติดตามของเราเคยแสดงให้เห็นว่าผู้ปฏิบัติงานจะมีเรซูเม่ และพวกเขามักจะมีนามสกุลญี่ปุ่นหรือจีน”
Su อธิบาย
“แต่ตอนนี้ ด้วย AI และเหตุการณ์ใน AI พวกเขาสามารถปลอมตัวให้ดูเหมือนนักพัฒนาทุกประเภทได้”
การตรวจจับและป้องกัน
ยังมีวิธีอื่น ๆ ที่ Binance สามารถตรวจจับผู้สมัครชาวเกาหลีเหนือได้ เช่น การขอให้พวกเขาวางมือบนใบหน้า ซึ่งมักจะทำให้การปลอมตัวล้มเหลว แต่ Binance ไม่ต้องการเปิดเผยกลยุทธ์ทั้งหมดเนื่องจากกลัวว่าผู้โจมตีอาจอ่านบทความนี้ นายจ้างคนอื่น ๆ ได้รับรู้ว่าถามผู้สมัครให้พูดสิ่งที่ไม่ดีเกี่ยวกับผู้นำสูงสุดของเกาหลีเหนือ Kim Jong Un ซึ่งเชื่อว่าผิดกฎหมายในประเทศ และได้รายงานผลลัพธ์ที่ดี
การติดตามพนักงาน
Binance อ้างว่าไม่เคยจ้างผู้เล่นจากรัฐชาติ แต่พวกเขาก็ไม่สามารถมั่นใจได้มากนัก ดังนั้นพวกเขาจึงติดตามพนักงานปัจจุบันสำหรับพฤติกรรมที่น่าสงสัย ซึ่งเป็นสิ่งที่สถาบันการเงินทั้งหมดทำในระดับหนึ่ง อย่างมีนัยสำคัญ ตามการวิจัยของ Su พนักงาน DPRK มักจะอยู่ในกลุ่มผู้ทำงานที่ดีที่สุดในบทบาทที่กำหนด
วิธีการโจมตีอื่น ๆ
Su กล่าวว่ามีวิธีการโจมตีอีกสองวิธีที่ผู้เล่นจากรัฐชาวเกาหลีเหนือใช้ หนึ่งในนั้นเกี่ยวข้องกับการทำให้ห้องสมุด NPM สาธารณะเป็นพิษด้วยโค้ดที่เป็นอันตราย ในขณะที่อีกวิธีหนึ่งคือรัฐที่กบฏทำการเสนอการจ้างงานปลอมให้กับพนักงานคริปโต
การป้องกันการโจมตี
เพื่อป้องกันไม่ให้เกิดปัญหานี้ Binance ต้องตรวจสอบโค้ดอย่างละเอียด การแลกเปลี่ยนคริปโตขนาดใหญ่ยังแบ่งปันข้อมูลข่าวสารที่เกี่ยวข้องกับความปลอดภัยในกลุ่ม Telegram และ Signal ซึ่งหมายความว่าพวกเขาสามารถติดธงห้องสมุดที่เป็นพิษและเทคนิค DPRK ที่เกิดขึ้นใหม่กับเพื่อนร่วมงานของพวกเขา
การโจมตีที่เกิดขึ้นอย่างต่อเนื่อง
ตามรายงานของ Chainalysis แฮกเกอร์ชาวเกาหลีเหนือขโมยเงิน 1.34 พันล้านดอลลาร์จากเหตุการณ์ที่เกี่ยวข้องกับคริปโต 47 เหตุการณ์เมื่อปีที่แล้ว นับตั้งแต่นั้นมา การโจมตีจาก DPRK ยังคงดำเนินต่อไป โดยผู้อำนวยการฝ่ายข่าวกรองภัยคุกคามเชิงกลยุทธ์ของ Wiz ประเมินว่า 1.6 พันล้านดอลลาร์ในคริปโตถูกขโมยไปแล้วในปีนี้ผ่านข้อเสนอการจ้างงาน IT ปลอม
“กลุ่ม Lazarus เป็นปัญหามาตลอด”
Su กล่าวกับ Decrypt
“แต่ในช่วงสองสามปีที่ผ่านมา พวกเขาได้เปลี่ยนโฟกัสและทรัพยากรไปที่คริปโตมากขึ้น เนื่องจากจำนวนเงินในอุตสาหกรรมที่สูง”
