Проект Ketman, получивший финансирование в рамках программы ETH Rangers от Ethereum Foundation, за шесть месяцев выявил более 100 северокорейских IT-агентов, действовавших в криптокомпаниях под фиктивными личностями. Результаты работы были опубликованы в отчете фонда, подводящем итоги программы, запущенной в конце 2024 года для поддержки независимых исследователей в области безопасности экосистемы Ethereum.
Масштабы проблемы
Северокорейские IT-специалисты уже несколько лет активно внедряются в Web3-компании, используя поддельные личности. Их цель — не только заработок, но и сбор разведывательных данных, а также получение доступа к инфраструктуре проектов. За многими из таких операций стоит группировка Lazarus Group, известная своими кибератаками на криптоиндустрию.
Команда Ketman за полгода задокументировала 100 таких агентов и уведомила 53 проекта о возможном присутствии в их штате северокорейских операторов. Исследователи использовали уникальные методы идентификации, основанные на анализе тактики, поведения и операционных моделей, характерных для IT-специалистов из КНДР.
Методы обнаружения
Среди ключевых признаков, которые помогли выявить агентов, были:
- повторное использование аватаров и метаданных профиля на нескольких аккаунтах GitHub под разными именами;
- случайное раскрытие несвязанных адресов электронной почты во время совместного использования экрана;
- противоречия между заявленным гражданством и установленным системным языком (например, русский язык по умолчанию);
- специфические поведенческие паттерны и нетипичные часы работы для указанного часового пояса.
Подробная методология обнаружения не раскрывается, однако команда Ketman разработала инструмент с открытым исходным кодом для автоматического выявления подозрительной активности на GitHub. Кроме того, совместно с организацией Security Alliance был создан отраслевой стандарт верификации для идентификации IT-работников из КНДР при найме.
«Эта работа напрямую устраняет одну из наиболее острых угроз операционной безопасности, с которыми сталкивается экосистема Ethereum сегодня», — отметили в отчете Ethereum Foundation.
Итоги программы ETH Rangers
Программа ETH Rangers поддержала 17 стипендиатов, чья деятельность охватывала широкий спектр задач: от исследования уязвимостей и разработки инструментов безопасности до анализа угроз и реагирования на инциденты. В рамках программы было восстановлено более $5,8 млн, выявлено 785 уязвимостей и идентифицировано более 100 северокорейских операторов.
На фоне этих событий напомним о недавнем взломе DeFi-платформы Drift Protocol на базе Solana, в результате которого было похищено $280 млн. Эксперты по кибербезопасности связывают эту атаку с хакерами из КНДР.
Что это значит: Выявление северокорейских агентов в криптоиндустрии подчеркивает растущие риски, связанные с кибербезопасностью в Web3-секторе. Это также указывает на необходимость усиления мер проверки сотрудников и внедрения более строгих стандартов безопасности.
Практический вывод: Криптокомпаниям следует уделять больше внимания проверке сотрудников, особенно при найме удаленных разработчиков. Использование инструментов, подобных разработанным Ketman, может помочь минимизировать риски, связанные с внедрением злоумышленников в команды.
Комментарии
0