Μια εξελιγμένη απάτη προσλήψεων, συνδεδεμένη με τη Βόρεια Κορέα, η οποία στόχευε επαγγελματίες του κλάδου ψηφιακών περιουσιακών στοιχείων μέσω του LinkedIn, με τελικό στόχο την πρόσβαση σε κρίσιμες υποδομές crypto, αποκάλυψε ότι απέτρεψε η Fireblocks.
Σύμφωνα με την εταιρεία υποδομών ψηφιακών assets, οι δράστες παρίσταναν τους recruiters και αξιοποιούσαν ψεύτικες συνεντεύξεις εργασίας για να παγιδεύσουν προγραμματιστές, εγκαθιστώντας κακόβουλο λογισμικό στα συστήματά τους.
Η Fireblocks ανέφερε ότι οι χάκερ κατάφεραν να μιμηθούν με εντυπωσιακή ακρίβεια μια αυθεντική διαδικασία πρόσληψης της εταιρείας: δημιουργούσαν πλαστά προφίλ recruiters, διεξήγαγαν συνεντεύξεις μέσω Google Meet και έστελναν «εργασίες για το σπίτι» μέσω GitHub, όπως ακριβώς σε πραγματικές τεχνικές αξιολογήσεις.
«Ουσιαστικά, οπλοποιούν μια απολύτως νόμιμη διαδικασία συνέντευξης για να δημιουργήσουν μια πολύ αυθεντική και πειστική αλληλεπίδραση με τους υποψηφίους», δήλωσε στο CNBC ο CEO της Fireblocks, Μάικλ Σαούλοφ.
Όταν οι υποψήφιοι εκτελούσαν μια φαινομενικά συνηθισμένη εγκατάσταση λογισμικού, στην πραγματικότητα εγκαθίστατο malware, το οποίο μπορούσε να εκθέσει ψηφιακά πορτοφόλια, ιδιωτικά κλειδιά και συστήματα παραγωγής.
Σύμφωνα με τον Σαούλοφ, οι επιτιθέμενοι επέλεγαν προσεκτικά τα θύματά τους με βάση τα προφίλ τους στο LinkedIn, αναζητώντας μηχανικούς με «προνομιακή πρόσβαση» σε κρίσιμα συστήματα. Η Fireblocks εντόπισε σχεδόν δώδεκα ψεύτικα προφίλ, τα οποία άλλαζαν συνεχώς εταιρική ταυτότητα, εκτιμώντας ότι η συγκεκριμένη καμπάνια βρίσκεται σε εξέλιξη εδώ και αρκετά χρόνια.
«Καταφέραμε να αλληλεπιδράσουμε με τους χάκερ και να συλλέξουμε αυτό που αποκαλούμε "ενδείξεις παραβίασης" — ουσιαστικά τα ψηφιακά αποτυπώματα των εργαλείων, των μεθόδων και του κακόβουλου λογισμικού που χρησιμοποιούσαν», ανέφερε.
Η Fireblocks συνεργάστηκε με το LinkedIn και τις αρμόδιες αρχές, με αποτέλεσμα τα ψεύτικα προφίλ να κατέβουν. Εκπρόσωπος του LinkedIn δήλωσε ότι «πάνω από το 99% των ψεύτικων λογαριασμών αφαιρούνται προληπτικά, πριν υπάρξει οποιαδήποτε αναφορά».
Η επαγγελματική πλατφόρμα σημείωσε επίσης ότι επενδύει διαρκώς σε τεχνολογίες εντοπισμού επιβλαβών συμπεριφορών και εφαρμόζει μηχανισμούς προστασίας, όπως προειδοποιήσεις όταν συνομιλίες μεταφέρονται εκτός LinkedIn και σήματα επαλήθευσης για recruiters.
Η υπόθεση έρχεται σε μια περίοδο αυξημένης ανησυχίας για την ασφάλεια στον χώρο των crypto. Πέρυσι, το ανταλλακτήριο Bybit υπέστη τη μεγαλύτερη κλοπή ψηφιακών περιουσιακών στοιχείων στην ιστορία, ύψους 1,5 δισ. δολαρίων.
Αναλυτές της εταιρείας blockchain intelligence Elliptic συνέδεσαν την επίθεση με την περιβόητη Lazarus Group, μία κρατικά υποστηριζόμενη κολεκτίβα χάκερς της Βόρειας Κορέας, γνωστή για την αφαίρεση δισεκατομμυρίων δολαρίων από την παγκόσμια βιομηχανία crypto.
Η δράση της Lazarus Group στον χώρο των ψηφιακών assets χρονολογείται τουλάχιστον από το 2017, όταν είχε παραβιάσει τέσσερα νοτιοκορεατικά ανταλλακτήρια, αποσπώντας bitcoin αξίας περίπου 200 εκατ. δολαρίων.
Ο Σαούλοφ, που είχε συμμετάσχει και στις έρευνες για τις επιθέσεις του 2017, υπογράμμισε ότι οι χάκερ -και ιδίως εκείνοι που συνδέονται με τη Βόρεια Κορέα- εξελίσσονται με «ταχύτητα φωτός».
«Το 2017 και το 2018 ήταν σχετικά εύκολο να τους εντοπίσεις, από γραμματικά λάθη και τυπογραφικά. Σήμερα, μοιάζουν σαν να έχουν αποφοιτήσει από την Οξφόρδη», είπε χαρακτηριστικά, προσθέτοντας ότι η χρήση της τεχνητής νοημοσύνης έχει κάνει τις επιθέσεις πολύ πιο εξελιγμένες και δυσδιάκριτες.
