มูลนิธิอีเธอเรียมเปิดโปง 100 ผู้ปฏิบัติการเกาหลีเหนือแทรกซึมเข้าบริษัทคริปโต

ประเด็นสำคัญ

• การสืบสวนระยะเวลาหกเดือนระบุตัวตนสายลับเกาหลีเหนือ 100 คนที่ทำงานในบริษัทคริปโตเคอเรนซี
• การวิจัยที่ได้รับการสนับสนุนจาก Ethereum Foundation เปิดเผยเครือข่ายนักพัฒนาลับทั่วอุตสาหกรรมบล็อกเชน
• ค้นพบผู้แทรกซึมที่เชื่อมโยงกับ DPRK ดำเนินการภายใต้ตัวตนปลอมในทีมพัฒนา Web3
• องค์กรบล็อกเชนเผชิญกับภัยคุกคามด้านความปลอดภัยที่เพิ่มสูงขึ้นจากสายลับที่ได้รับการสนับสนุนจากรัฐ
• การสืบสวนเปิดเผยการแทรกซึมของเกาหลีเหนืออย่างเป็นระบบและระยะยาวทั่วภาคคริปโต

การสืบสวนด้านความปลอดภัยอย่างครอบคลุมที่ได้รับการสนับสนุนจาก Ethereum Foundation ได้เปิดเผยการละเมิดที่สำคัญซึ่งเกี่ยวข้องกับสายลับลับที่ฝังตัวอยู่ภายในองค์กร Web3 การดำเนินการวิจัยระยะเวลาหกเดือนอย่างกว้างขวางได้ระบุตัวตนบุคคล 100 คนที่มีความเชื่อมโยงกับเกาหลีเหนือซึ่งทำงานภายในทีมพัฒนาคริปโตเคอเรนซีสำเร็จ การเปิดเผยเหล่านี้เน้นย้ำถึงความท้าทายด้านความปลอดภัยในการดำเนินงานที่เพิ่มสูงขึ้นทั่วเครือข่าย Ethereum

การวิจัยอย่างเป็นระบบเปิดเผยเครือข่ายการแทรกซึม Web3 อย่างแพร่หลาย

Ethereum Foundation สนับสนุนการประเมินความปลอดภัยที่ครอบคลุมนี้ผ่านโปรแกรม ETH Rangers ซึ่งเริ่มดำเนินการในช่วงปลายปี 2024 โครงการริเริ่มนี้จัดหาเงินทุนให้กับนักวิจัยด้านความปลอดภัยอิสระที่มุ่งมั่นเพื่อเพิ่มการปกป้องระบบนิเวศผ่านโครงการโครงสร้างพื้นฐานสาธารณะที่มุ่งเน้น ผลจากนี้ ผู้รับหนึ่งรายได้จัดตั้ง Ketman Project โดยเฉพาะเพื่อตรวจสอบรูปแบบพฤติกรรมที่น่าสงสัยของนักพัฒนา

Ketman Project มุ่งเน้นความพยายามในการเปิดเผยนักพัฒนาฉ้อโกงที่ฝังตัวอยู่ในบริษัท Web3 ซึ่งใช้ตัวตนปลอมหลายชั้น ตลอดระยะเวลาการสืบสวนหกเดือน นักวิจัยได้ระบุตัวตนบุคคล 100 คนที่เชื่อมโยงกับเกาหลีเหนือซึ่งกำลังทำงานภายในองค์กรคริปโตเคอเรนซีสำเร็จ ทีมสืบสวนได้ติดต่อโครงการบล็อกเชน 53 โครงการที่อาจจ้างสายลับที่ซ่อนตัวเหล่านี้โดยไม่รู้ตัว

มูลนิธิได้ยืนยันว่าการค้นพบเหล่านี้เปิดเผยช่องโหว่ด้านความปลอดภัยในการดำเนินงานที่สำคัญซึ่งส่งผลกระทบต่อโครงสร้างพื้นฐานการพัฒนาที่ใช้ Ethereum นักวิจัยได้พัฒนาแพลตฟอร์มการตรวจจับแบบโอเพนซอร์สที่ออกแบบมาเพื่อระบุรูปแบบที่น่าสงสัยในกิจกรรมผู้มีส่วนร่วมของ GitHub โปรแกรมนี้แสดงถึงความมุ่งมั่นที่ขยายออกไปเพื่อเสริมสร้างมาตรการความปลอดภัยทั่วระบบนิเวศที่กว้างขึ้น

การดำเนินงานของเกาหลีเหนือที่ยาวนานเชื่อมโยงกับการขโมยคริปโตเคอเรนซีจำนวนมหาศาล

หลักฐานการสืบสวนแสดงให้เห็นว่านักพัฒนาที่เชื่อมโยงกับเกาหลีเหนือได้รักษาบทบาทที่กระตือรือร้นภายในทีมพัฒนาคริปโตเคอเรนซีเป็นระยะเวลาหลายปี สายลับเหล่านี้มีส่วนร่วมในการพัฒนาโครงการในขณะที่ซ่อนตัวตนที่แท้จริงของพวกเขาไว้เบื้องหลังการมีส่วนร่วมทางเทคนิคที่น่าเชื่อถือ นักวิเคราะห์ด้านความปลอดภัยเชื่อมโยงการดำเนินงานจำนวนมากกับ Lazarus Group ซึ่งเป็นองค์กรอาชญากรรมไซเบอร์ที่ได้รับการสนับสนุนจากรัฐ

รายงานในอุตสาหกรรมคำนวณว่าหน่วยงานที่เกี่ยวข้องกับเกาหลีเหนือได้ขโมยเงินประมาณ 7 พันล้านดอลลาร์จากแพลตฟอร์มคริปโตเคอเรนซีสำเร็จตั้งแต่ปี 2017 กิจกรรมอาชญากรรมเหล่านี้ครอบคลุมการละเมิดด้านความปลอดภัยที่สำคัญรวมถึงการโจมตี Ronin Bridge และเหตุการณ์ความปลอดภัย WazirX ขนาดของความเสียหายทางการเงินแสดงให้เห็นถึงการดำเนินการสงครามไซเบอร์ที่มีการประสานงานและต่อเนื่อง

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์สังเกตว่านักพัฒนาที่ฝังตัวเหล่านี้มักแสดงความเชี่ยวชาญในการพัฒนาบล็อกเชนที่ถูกต้องแม้จะดำเนินการภายใต้ตัวตนที่สร้างขึ้น โปรโตคอลการเงินแบบกระจายอำนาจจำนวนมากทั่วระบบนิเวศได้พึ่งพาผู้มีส่วนร่วมดังกล่าวในอดีต ปัญหาการแทรกซึมนี้ขยายไปไกลเกินกว่าเหตุการณ์แยกเดี่ยวแต่ละรายการเข้าสู่ช่องโหว่ของโครงสร้างพื้นฐานที่เป็นพื้นฐาน

วิธีการหลอกลวงที่ตรงไปตรงมาช่วยให้การแทรกซึมระยะยาวประสบความสำเร็จ

นักวิจัยค้นพบว่ากลยุทธ์การแทรกซึมจำนวนมากพึ่งพาเทคนิคการหลอกลวงที่ไม่ซับซ้อนแต่มีประสิทธิภาพสูง แนวทางเหล่านี้รวมถึงการสมัครงานมาตรฐาน การสร้างเครือข่ายมืออาชีพบน LinkedIn และกระบวนการสัมภาษณ์ระยะไกลที่ออกแบบมาเพื่อสร้างความน่าเชื่อถือภายในทีมพัฒนา ผ่านวิธีการเหล่านี้ สายลับได้รวมตัวเองเข้ากับการดำเนินงานพัฒนามาตรฐานสำเร็จ

Ketman Project บันทึกสัญญาณเตือนที่เกิดขึ้นซ้ำที่เห็นได้ชัดเจนในบัญชีนักพัฒนาและการโต้ตอบของระบบ ตัวบ่งชี้คำเตือนเหล่านี้รวมถึงภาพโปรไฟล์ที่ใช้ซ้ำ การตั้งค่าภาษาที่ขัดแย้งกัน และการเปิดเผยบัญชีอีเมลที่ไม่เกี่ยวข้องโดยไม่ตั้งใจ ความคลาดเคลื่อนมักเกิดขึ้นระหว่างเซสชันการแชร์หน้าจอหรือเมื่อตรวจสอบประวัติกิจกรรมที่เก็บโค้ด

โครงการวิจัยได้ร่วมมือกับ Security Alliance เพื่อสร้างกรอบงานที่ครอบคลุมสำหรับการตรวจจับผู้เข้าร่วมนักพัฒนาที่น่าสงสัย ความพยายามร่วมมือนี้ได้เพิ่มความสามารถในการตรวจจับภัยคุกคามผ่านการแบ่งปันข่วยกรองที่มีการประสานงานทั่วอุตสาหกรรมคริปโตเคอเรนซี องค์กรบล็อกเชนขณะนี้มีทรัพยากรที่ดีขึ้นเพื่อลดช่องโหว่ต่อภัยคุกคามด้านความปลอดภัยที่ซ่อนอยู่

โพสต์ Ethereum Foundation เปิดเผยสายลับเกาหลีเหนือ 100 คนที่แทรกซึมเข้าสู่บริษัทคริปโตปรากฏครั้งแรกบน Blockonomi