Программа Ethereum Foundation выявила 100 криптоработников, связанных с КНДР

Инструмент обнаружения с открытым исходным кодом и стандартная для индустрии идентификационная структура — это были среди результатов работы одного исследователя, работавшего на шестимесячной стипендии.

Результаты, опубликованные Ethereum Foundation, появились в рамках программы под названием ETH Rangers, которая была создана в конце 2024 года для финансирования работы по безопасности, приносящей пользу более широкой криптовалютной экосистеме.

Один исследователь, одна стипендия, 100 оперативников

Один из получателей гранта использовал финансирование для создания проекта Ketman — расследования, направленного на выявление фальшивых личностей разработчиков внутри криптовалютных компаний.

За шесть месяцев проект отследил 100 северокорейских IT-специалистов, внедренных в организации Web3. Около 53 проектов были уведомлены и предупреждены о том, что они могли нанять активных оперативников, связанных с Корейской Народно-Демократической Республикой.

Ethereum Foundation описал эту угрозу как "одну из самых неотложных угроз операционной безопасности, с которыми сталкивается экосистема Ethereum сегодня".

Веб-сайт проекта Ketman описывает тактику, которую используют эти работники — поведенческие модели, технические привычки и трюки с идентификацией, которые позволяют им выдавать себя за легитимных разработчиков.

Некоторые из тревожных сигналов удивительно просты. Работники были пойманы на повторном использовании одних и тех же фотографий профиля и метаданных в разных учетных записях GitHub.

Во время сеансов совместного доступа к экрану случайно были раскрыты несвязанные адреса электронной почты. В некоторых случаях языковые настройки устройства — установленные на русский — выдавали личности, которые противоречили заявленным национальностям.

Как были пойманы оперативники

Проект Ketman не просто идентифицировал отдельных лиц. Он создал инфраструктуру. Был разработан инструмент с открытым исходным кодом для отметки необычной активности GitHub, связанной с подозрительными учетными записями.

Отдельная структура для идентификации работников, связанных с КНДР, была создана совместно с Security Alliance — некоммерческой организацией, специализирующейся на безопасности блокчейна. Оба ресурса теперь доступны для использования другими организациями.

Отчеты указывают, что Ethereum Foundation не раскрыл конкретные методы, использованные для разоблачения оперативников, помимо того, что описано в публикациях самого проекта Ketman. Однако веб-сайт проекта предлагает подробные отчеты об операционных моделях, которые выдавали работников.

Присутствие Северной Кореи в криптовалютах не является новым. Связанные с государством хакерские группы, включая известную группу Lazarus, были связаны с некоторыми из крупнейших краж в истории индустрии.

Согласно отчетам, миллиарды долларов в цифровых активах были украдены северокорейскими участниками за годы.

Программа ETH Rangers была создана специально для устранения пробелов в безопасности через финансируемых стипендией лиц, выполняющих работу в общественных интересах.

Проект Ketman представляет собой один из первых публично задокументированных результатов. Не было раскрыто, получили ли другие получатели грантов аналогичные результаты.

Избранное изображение из Chief Learning Officer, график от TradingView