3 Minute
Un dispozitiv compromis aparținând unui lucrător IT nord-coreean a dezvăluit o operațiune organizată care a vizat proiecte din domeniul criptomonedelor, culminând cu exploatarea platformei de fan-tokens Favrr în iunie 2025. Investigația efectuată de on-chain investigatorul ZachXBT a urmărit activitatea portofelelor și amprentele digitale obținute din capturi de ecran, exporturi Google Drive și profiluri Chrome găsite pe calculatorul compromis. Una dintre adresele crypto identificate, 0x78e1a, a fost asociată direct cu fondurile furate în incidentul Favrr.
Analiza a scos la iveală existența unei echipe restrânse, formate din șase operatori, care operau sub cel puțin 31 de identități false. Pentru a obține poziții aparent legitime în dezvoltarea blockchain, aceștia colectau acte de identitate și numere de telefon, achiziționând conturi LinkedIn și Upwork pentru a-și susține poveștile de acoperire. Pe dispozitiv au fost descoperite scripturi pregătite pentru interviuri, care pretindeau experiență la proiecte majore precum Polygon Labs, OpenSea sau Chainlink.
Serviciile Google erau esențiale pentru fluxul operațional. Foile de calcul Drive monitorizau bugete și programe, profilurile Chrome gestionau accesul la conturi, iar Google Translate facilita comunicarea între limba coreeană și engleză. Dispozitivul includea și documente privind calculatoare închiriate și plăți pentru VPN-uri, esențiale pentru a crea conturi noi fără a lăsa urme nord-coreene.
Grupul se baza pe software de acces la distanță, precum AnyDesk, pentru a controla sisteme ale clienților de la distanță și a-și ascunde locația reală. Jurnalele VPN indicau că traficul era redirecționat prin multiple regiuni pentru a masca adresele IP nord-coreene. Aceste metode le-au permis să acceseze cod sursă, sisteme backend și infrastructura portofelelor crypto, reducând riscurile de atribuire și expunere.
Specialiștii în securitate cibernetică au semnalat în repetate rânduri tacticile prin care muncitorii IT nord-coreeni obțin roluri remote legitime în companii crypto, sub aparența unor dezvoltatori freelanceri. Astfel, reușeau să obțină acces privilegiat la medii de dezvoltare sensibile. Documentele găsite pe dispozitiv includ note și materiale de pregătire pentru interviuri, menite să fie folosite în timpul convorbirilor cu angajatorii, detaliind profunzimea strategiei lor de inginerie socială.
Materialele recuperate sugerează că echipa își extindea activitatea, documentând lansarea de tokenuri pe mai multe blockchainuri, explorând firme AI europene și identificând noi ținte crypto. Pentru exchange-uri, marketplace-uri crypto și proiecte blockchain, acest caz subliniază importanța verificării stricte a angajaților remote, implementării unor controale de acces pe mai multe niveluri, monitorizării riguroase a repository-urilor de cod și asigurării securității portofelelor pentru a preveni atacurile din interior.
Incidentul Favrr și dispozitivul expus demonstrează modul în care actori amenințători coordonați, folosind inginerie socială, identități false și instrumente cloud uzuale, pot infiltra companii crypto. Segmentarea accesului la dezvoltare, verificarea riguroasă a identității și monitorizarea mișcărilor neobișnuite în portofele sunt măsuri cheie pentru prevenirea unor atacuri similare în viitor.
Sursa: crypto
Lasă un Comentariu