朝鲜网络行动者扩大范围
朝鲜网络行动者已经将目标从美国公司扩大到欧盟和英国的区块链初创企业,假冒远程开发人员,留下了被泄露的数据和勒索企图的痕迹。
在周二发布的一份报告中,谷歌威胁情报小组(GTIG)揭示,与朝鲜民主主义人民共和国(DPRK)相关的IT工作者已经在美国以外扩大了活动,将自己嵌入到英国、德国、葡萄牙和塞尔维亚的加密项目中。
被泄露的项目
被泄露的项目包括区块链市场、人工智能网页应用以及Solana和Anchor/Rust智能合约的开发。一个案例涉及使用Next.js和CosmosSDK构建一个Nodexa代币托管平台,其他案例包括使用MERN堆栈和Solana构建的区块链工作市场,以及使用Electron和Tailwind CSS开发的AI增强区块链工具。
GTIG顾问Jamie Collier在报告中表示:“为了应对美国对威胁的高度警觉,他们建立了一个全球性的虚假身份生态系统,以增强操作灵活性。”
报告指出,一些工作者同时以12个假身份运营,使用贝尔格莱德大学的学位、来自斯洛伐克的虚假居留文件,以及在欧洲求职平台上的导航指导。
Collier表示,驻英国和美国的中介帮助这些行动者绕过身份检查,并通过TransferWise、Payoneer和加密货币收款,有效地隐藏了流回朝鲜政权的资金来源。
Wise的一位发言人告诉Decrypt:“我们非常认真地对待遵守所有适用制裁法律的责任。”他补充说,该公司执行“众多验证检查”,使用“超过250个数据点来监控Wise上的交易,以发现和识别潜在的服务滥用。”他们解释道:“当我们识别出潜在的金融犯罪或其他服务滥用时,我们会立即采取措施调查此案,包括暂停或冻结交易和客户账户。”同时,Wise会将违规行为报告给“全球授权机构。”
GTIG报告称,这些工人为朝鲜政权创造收入,美国、日本和韩国的特使此前已指控该政权利用海外IT专家,包括那些从事恶意网络活动的专家,来资助其受到制裁的武器项目。
Collier警告说:“这使得雇佣DPRK IT工作者的组织面临间谍活动、数据盗窃和干扰的风险。”
勒索威胁
自2024年10月以来,GTIG观察到勒索威胁激增,因被解雇的DPRK开发者开始以泄露源代码和专有文件的威胁来勒索前雇主。
GTIG指出,这一攻击性上升与“美国对DPRK IT工作者的执法行动加剧,包括干扰和起诉”相吻合。
去年12月,美国财政部外国资产控制办公室(OFAC)对两名中国国籍人士实施制裁,因他们通过与平壤政权有关的阿联酋前台公司洗钱数字资产以资助朝鲜政府。
随后在1月,司法部对两名朝鲜国籍人士提起诉讼,指控他们运营一个欺诈性的IT工作计划,该计划在2018年至2024年间渗透至少64家美国公司。
超越拉撒路集团
3月,Paradigm安全研究员Samczsun警告称,DPRK的网络战略远远超出了国家支持的拉撒路集团,该集团与历史上一些最大的加密黑客攻击有关。
Samczsun写道:“DPRK黑客对我们的行业构成了日益严重的威胁。”他概述了像TraderTraitor和AppleJeus这样的子群体,专门从事社会工程、虚假工作机会和供应链攻击。
2月,与拉撒路有关的黑客从加密交易所Bybit窃取了14亿美元,资金随后通过币混合器和去中心化交易所(DEX)进行了转移。
随着加密行业高度依赖远程人才和自带设备(BYOD)环境,GTIG警告说,许多初创公司缺乏适当的监控工具来检测此类威胁。
Collier表示,这正是问题所在——朝鲜正在利用“全球基础设施和支持网络的迅速形成,以增强他们持续运营的能力。”
此报道已于4月2日更新,包含TransferWise的评论。