วิธีการที่ตัวแทนชาวเกาหลีเหนือแทรกซึมเข้าไปใน บริษัท บล็อกเชนที่ตรวจไม่พบ

ประเด็นสำคัญ:

• นักปฏิบัติการเกาหลีเหนือสี่คนเป็นคนงานด้านไอทีที่อยู่ห่างไกลเพื่อเข้าถึงและขโมยเงินดิจิตอลมากกว่า $ 900,000 ในสกุลเงินดิจิตอล
• พวกเขาแทรกซึมเข้าไปใน บริษัท บล็อกเชนในสหรัฐอเมริกาและเซอร์เบียโดยใช้อัตลักษณ์ที่ถูกขโมยและเอกสารปลอม
• เงินทุนถูกฟอกผ่านเครื่องผสมและบัญชีปลอมโดยมีนักวิจัยเชื่อมโยงการดำเนินการกับความพยายามของ DPRK ในการจัดหาเงินทุนสำหรับโปรแกรมอาวุธ

พลเมืองเกาหลีเหนือสี่คนถูกกล่าวหาโดยอัยการของรัฐบาลกลางว่ามีส่วนร่วมในการขโมยสกุลเงินซึ่งขโมยเงินจำนวนเกือบ 1 ล้านเหรียญสหรัฐในสกุลเงินดิจิตอลจาก บริษัท cryptocurrency สองแห่งในการโจมตีออนไลน์ที่ซับซ้อน อัยการกล่าวว่าจำเลยยึดการเติบโตของงานระยะไกลและการพัฒนา cryptocurrency เพื่อคว่ำบาตรเป็ดและช่องทางสินทรัพย์ดิจิทัลไปยังรัฐบาลเกาหลีเหนือ

ทำงานระยะไกลเป็นแบ็คดอร์เข้าสู่ บริษัท blockchain

คำฟ้องยื่นฟ้อง ในเขตภาคเหนือของจอร์เจียเมื่อวันที่ 30 มิถุนายน 2568 รายละเอียดการหลอกลวงที่วิ่งจากอย่างน้อย 2019 ไปยังที่ไหนสักแห่งในปี 2022 ด้วยการปล้น crypto หลายครั้งในช่วงเวลานั้น จำเลย –Kim Kwang Jin– Kang Tae Bok– Jong Pong Juและ Chang Nam Il– ใช้ตัวตนปลอมและถูกขโมยเพื่อรักษาความปลอดภัยงานในฐานะนักพัฒนาที่ บริษัท บล็อกเชนที่ตั้งอยู่ในสหรัฐอเมริกาและเซอร์เบีย

บันทึกของศาลเปิดเผยว่าคิมและจองได้รับการว่าจ้างเป็นนักพัฒนาโดย บริษัท R&D บล็อกเชนในรัฐจอร์เจียและ บริษัท โทเค็นเสมือนจริงในประเทศเซอร์เบียตามลำดับ พวกเขานำไปใช้ภายใต้โปรไฟล์ที่ประดิษฐ์ขึ้นซึ่งรวมถึงเอกสารที่ฉ้อโกงผสมรายละเอียดข้อมูลประจำตัวจริงและตัวตนที่ถูกขโมย ทั้งสอง บริษัท ไม่ทราบถึงสัญชาติเกาหลีเหนือที่แท้จริงของผู้สมัครในเวลาที่จ้าง

มีรายงานว่าการดำเนินการเริ่มต้นขึ้นกับกลุ่มที่ทำงานร่วมกันในสหรัฐอาหรับเอมิเรตส์ในปี 2562 ซึ่งพวกเขาประสานงานทักษะของพวกเขาเป็นครั้งแรกและวางแผนว่าจะกำหนดเป้าหมายแพลตฟอร์ม crypto ในต่างประเทศเป็นครั้งแรก

ประสานงานการขโมยและการฟอกสินทรัพย์ดิจิทัล

การแสวงหาผลประโยชน์จากสัญญาอัจฉริยะและการเข้าถึงภายใน

เมื่ออยู่ในงานเหล่านั้นตัวแทนก็สามารถเข้าถึงระบบที่ละเอียดอ่อนภายในระบบและกระเป๋าเงินเข้ารหัสลับของ บริษัท Jong Pong Ju หรือที่รู้จักกันในชื่อ“ Bryan Cho” ได้ใช้เงินประมาณ $ 175,000 ในสกุลเงินดิจิทัลจากบัญชีธนาคารของนายจ้างของเขาในเดือนกุมภาพันธ์ 2565 หนึ่งเดือนต่อมาคิม Kwang Jin ตกเป็นเหยื่อของข้อบกพร่องในรหัสสัญญาอัจฉริยะของ บริษัท

อัยการกล่าวว่าการขโมยทั้งสองถูกไตร่ตรองไว้ล่วงหน้าและใช้การปรับเปลี่ยนรหัสและการอนุญาตภายในเพื่อปิดบังธุรกรรมที่ไม่ได้รับอนุญาต เงินที่ถูกขโมยถูกฟอกผ่านบริการผสมสกุลเงินดิจิตอลเพื่อซ่อนต้นกำเนิดของมันหลังจากนั้นมันถูกโอนไปยังบัญชีแลกเปลี่ยนที่เปิดด้วยเอกสารประจำตัวของมาเลเซียปลอมแปลง

บัญชีการแลกเปลี่ยนเหล่านี้ได้รับการจัดการโดย Kang Tae Bok และ Chang Nam IL ผู้สมรู้ร่วมคิดคนอื่น ๆ ที่ถูกฟอกเงินจากเงินที่ถูกขโมย ทั้งสี่ได้รับการตั้งชื่อในคำฟ้องห้าครั้งรวมถึง การฉ้อโกงลวด และ การฟอกเงิน ค่าใช้จ่าย

เจ้าหน้าที่สหรัฐเตือนถึงกลยุทธ์ไซเบอร์ที่ขยายตัวของเกาหลีเหนือ

อัยการสหรัฐฯ Theodore S. Hertzberg เน้นว่ากรณีนี้สะท้อนให้เห็นถึงการคุกคามที่เพิ่มขึ้นและคำนวณจากสาธารณรัฐประชาธิปไตยประชาชนเกาหลี (DPRK) ซึ่งใช้ปฏิบัติการด้านไอทีทั่วโลกเพื่อหลีกเลี่ยงการคว่ำบาตรและระดมทุนสำหรับโครงการที่ดำเนินการโดยรัฐรวมถึงการพัฒนาอาวุธนิวเคลียร์

“ บุคคลเหล่านี้ปิดบังตัวตนที่แท้จริงของพวกเขาใช้ประโยชน์จากนายจ้างที่ไว้วางใจและขโมยเกือบหนึ่งล้านดอลลาร์ – ทั้งหมดเพื่อสนับสนุนระบอบเผด็จการ” เฮอร์ซ์เบิร์กกล่าว “ เราจะดำเนินการตามนักแสดงทั้งในประเทศหรือต่างประเทศที่ตั้งเป้าหมายธุรกิจของสหรัฐฯ”

ที่ FBI Atlanta แผนกซึ่งเป็นหัวหอกในการสอบสวนสะท้อนความกังวลเหล่านี้ ตัวแทนพิเศษที่รับผิดชอบพอลบราวน์กล่าวว่าการใช้ตัวตนที่ฉ้อโกงของ DPRK เพื่อละเมิด บริษัท บล็อกเชนเน้นถึงจุดตัดที่แตกต่างกันระหว่างความปลอดภัยไซเบอร์ความมั่นคงแห่งชาติและอาชญากรรมทางการเงิน

รูปแบบของการหลีกเลี่ยงการคว่ำบาตรการคว่ำบาตร crypto

กรณีนี้ไม่ได้แยก มันเป็นส่วนหนึ่งของรูปแบบที่กว้างขึ้นของปฏิบัติการของเกาหลีเหนือโดยใช้โครงสร้างพื้นฐาน crypto เพื่อใช้ประโยชน์จากการควบคุมระหว่างประเทศ ในด้านหน้า DOJ ENABLER-CROSSFIRE ในประเทศ DOJ มีส่วนร่วมในความพยายามในการประชาสัมพันธ์ที่รู้จักกันในชื่อ DPRK Revgen: INABLER Initiative ในประเทศซึ่งเป็นความไม่พอใจที่เปิดตัวในเดือนมีนาคม 2567 โดยแผนกความมั่นคงแห่งชาติของ DOJ ซึ่งเป็นความคิดริเริ่มที่จะยกเลิกเส้นทาง

เจ้าหน้าที่กล่าวว่าการหลอกลวงเป็นส่วนหนึ่งของแรงผลักดันที่กว้างขึ้นในการจัดตั้ง“ เครือข่ายการสร้างรายได้” ซึ่งท้ายที่สุดก็มีส่วนร่วมในงบประมาณเชิงกลยุทธ์ของเกาหลีเหนือ เหล่านี้รวมถึงการโจมตีทางไซเบอร์ที่มีชื่อเสียงสูงการปรับใช้ ransomware และตอนนี้-การแทรกซึมเข้าสู่ทีมองค์กรผ่านการจ้างงานระยะไกล

Andrew Fiermanหัวหน้าฝ่ายความมั่นคงแห่งชาติที่ บริษัท นิติเวชบล็อกเชน การวิเคราะห์ลูกโซ่แสดงความคิดเห็นว่านักแสดง DPRK กำลังฝังตัวเองมากขึ้นภายใน บริษัท เป้าหมาย:

“ พวกเขารวบรวมความรู้ภายในจัดการระบบจากภายในและแม้กระทั่ง orchestrate insider breaches”

โมเดลวงในนี้ทำให้การตรวจจับยากขึ้นโดยเฉพาะอย่างยิ่งเมื่อจับคู่กับเทคนิคการฟอกขั้นสูงเช่นการผสมโทเค็นและการใช้โปรโตคอลการกระจายอำนาจทางการเงิน (DEFI) ในการทำธุรกรรมเลเยอร์

อ่านเพิ่มเติม: ผู้ก่อตั้ง Manta Network หลีกเลี่ยงการซูมกลุ่ม Lazarus โดยใช้ Deepfake และ Malware Factic

อุตสาหกรรม crypto เผชิญกับการตรวจสอบใหม่

เหตุการณ์ดังกล่าวถามคำถามที่ยากลำบากของอุตสาหกรรม crypto โดยเฉพาะอย่างยิ่งเกี่ยวกับการตรวจสอบตัวตนการจ้างงานระยะไกลและการควบคุมการเข้าถึง แม้ว่า บริษัท ที่ใช้ Blockchain ให้ความสำคัญกับการกระจายอำนาจและการจ้างพนักงานที่มีความสามารถทั่วโลก แต่ข้อเสียคือการเปิดรับการฉ้อโกงที่ซับซ้อน

กองทุนที่ถูกขโมย – Worth ประมาณ $ 915,000 ในเวลานั้น– ยังคงถูกติดตามข้ามการแลกเปลี่ยนตามแหล่งข่าวที่คุ้นเคยกับการสอบสวน DOJ และ FBI กำลังร่วมมือกับการบังคับใช้กฎหมายระหว่างประเทศและ บริษัท วิเคราะห์บล็อกเชนส่วนตัวเพื่อกู้คืนสินทรัพย์

อ่านเพิ่มเติม: ZACHXBT ระบุกลุ่ม Lazarus เป็นแฮ็กเกอร์ $ 1.4B, ชนะ Arkham Bounty