Hackers norte -coreanos tentam ser contratados na Binance todos os dias – aqui está como eles são vistos

Todos os dias, a Binance é inundada com currículos falsos de que é certo que foram escritos por pretensos atacantes norte-coreanos, disse o diretor de segurança da Crypto Exchange, Jimmy Su, disse Descriptografar. Na sua opinião, os atores do Estado-nação da Coréia do Norte são a maior ameaça que as empresas enfrentam hoje na indústria de criptografia.

Su explicou que os atacantes norte-coreanos têm sido um problema ao longo da existência de oito anos da troca, mas recentemente os hackers aumentaram seu jogo quando se trata de criptografia.

“O maior vetor atualmente contra a indústria criptográfica são os atores estatais, particularmente na RPDC, (com) Lazarus”, disse Su disse à Descriptografaracrescentando que: “Eles tiveram um foco de criptografia nos últimos dois, três anos e foram bastante bem -sucedidos em seus empreendimentos”. Ele acrescentou que “quase todos os grandes hacks da RPDC” envolveram um funcionário falso ajudando a facilitar o ataque.

Como a Coréia do Norte ataca trocas de criptografia

A República Popular Democrática da Coréia, também conhecida como RPDC ou Coréia do Norte, abriga o Lázaro, um dos clãs de hackers mais prolíficos do mundo. Acredita -se que o grupo tenha sido responsável pelo infame bybit de US $ 1,4 bilhão em março – o maior hacker da história da criptografia, de acordo com o FBI.

Su disse que a Binance notou principalmente atacantes norte -coreanos tentando ser contratados na empresa. As reivindicações de câmbio centralizadas para descartar currículos diariamente, com base em sua tendência a usar determinados modelos de currículo. A empresa não estava disposta a compartilhar mais detalhes em retomar as bandeiras vermelhas com Descriptografar.

Se esses currículos passarem pela verificação inicial da vibração, a empresa deve verificar se o candidato é legítimo em uma videochamada – um desafio que está ficando mais difícil com a ascensão da IA.

“Nosso rastreamento costumava mostrar que o ator, o operador, terá um currículo e eles têm um sobrenome japonês ou chinês”, explicou Su. “Mas agora, com a IA e os eventos na IA, eles são capazes de fingir para parecer qualquer tipo de desenvolvedor. Mais recentemente, nós os vimos serem candidatos da Europa, do Oriente Médio. O que eles fazem é que eles realmente usam um divisor de voz durante suas entrevistas, e o vídeo foi um dos DeepFake.”

“A única detecção real é que eles quase sempre têm uma lenta conexão à Internet”, acrescentou. “O que está acontecendo é que a tradução e o divisor de voz estão funcionando durante a ligação … é por isso que eles sempre estão atrasados.”

Há outras maneiras pelas quais a Binance pode detectar um candidato norte -coreano – como pedindo a eles que colocassem a mão no rosto, o que geralmente quebra o Deepfake -, mas a Binance não quer revelar todos os seus truques por medo de que os atacantes possam estar lendo este artigo.

Sabe -se que outros empregadores pedem aos candidatos que dizem algo negativo sobre o líder supremo norte -coreano Kim Jong Un, que se acredita ser proibido no país e relataram resultados positivos.

A Binance afirma nunca ter contratado um ator do Estado-nação; No entanto, eles não podem ter muita certeza. Como resultado, eles até monitoram seus funcionários atuais quanto a comportamentos suspeitos – algo que todas as instituições financeiras fazem até certo ponto.

Ironicamente, de acordo com a pesquisa da SU, os funcionários da RPDC geralmente estão entre os principais desempenhos da empresa no papel. É provável que possa haver várias pessoas fazendo o mesmo trabalho em vários fusos horários, explicou. Portanto, o Binance rastreia quando os funcionários estão trabalhando, juntamente com sua produção.

Se um trabalhador não parece dormir, pode ser um sinal de que eles são parte do infame grupo Lázaro.

De que outra forma a Coréia do Norte está atacando?

Existem outros dois modos de ataque frequentes empregados por atores estatais norte -coreanos, disse Su. Um envolve envenenar as bibliotecas públicas da NPM com código malicioso, enquanto o outro vê o estado desonesto fazendo ofertas falsas de emprego aos funcionários da criptografia.

As bibliotecas do Node Package Manager (NPM) ou pacotes são coleções de código reutilizável que os desenvolvedores usam com frequência. Os atacantes maliciosos podem duplicar esses pacotes e inserir uma pequena linha de código que pode ter graves consequências – tudo ao manter sua função original. Se isso for recolhido uma vez, o código malicioso se incorporará cada vez mais e profundamente ao sistema, à medida que os desenvolvedores se baseiam no topo, disse Su.

Para evitar que isso se torne um problema, o Binance precisa passar pelo código com um pente de dente fino. As principais trocas de criptografia também compartilham inteligência relacionada à segurança nos grupos de telegramas e sinalizadores – o que significa que eles podem sinalizar bibliotecas envenenadas e técnicas emergentes de RPDC com seus colegas.

“O Grupo RPDC (também) tentará agendar chamadas com os funcionários voltados para o exterior”, disse Su disse Descriptografar. “Como um projeto Defi ou empresa de investimentos. Pior, eles os recrutarão para um emprego de alto nível, pagando duas vezes, três vezes mais, apenas para colocá-los em uma entrevista”.

Durante a entrevista falsa, explicou SU, os hackers da RPDC afirmam que a chamada tem “algum tipo de vídeo ou problema de voz”, antes de enviar à vítima um link para atualizar seu zoom. Então, ele disse, o dispositivo deles está infectado com malware.

A Binance treinou seus funcionários para denunciar todas as tentativas de phishing feitas sobre eles. Pela frequência desses relatórios, a SU está confiante de que os invasores da RPDC estão mensagens para funcionários da Binance no LinkedIn todos os dias.

Os hackers norte-coreanos roubaram US $ 1,34 bilhão em 47 incidentes relacionados a criptografia no ano passado, revelou um relatório de cadeia. Desde então, os ataques da RPDC persistiram, com o diretor de inteligência estratégica de ameaças da Wiz estimando que US $ 1,6 bilhão em criptografia foi roubado até agora este ano por meio de ofertas de emprego de TI falsas.

“O Lazarus Group sempre foi um problema”, disse Su disse Descriptografar. “Mas nos últimos dois, três anos, eles mudaram seu foco, mais de seus recursos para a criptografia. Apenas por causa da quantia (grande) dólar da indústria”.