Binance w niebezpieczeństwie. Hakerzy obrali sobie za cel największą giełdę kryptowalut

Giełda kryptowalut Binance codziennie odpiera próby infiltracji ze strony północnokoreańskich cyberprzestępców, którzy podszywają się pod kandydatów do pracy. Według jej dyrektora ds. bezpieczeństwa Jimmy’ego Su, to dziś największe zagrożenie dla całej branży kryptowalutowej.

• Codziennie odrzucane są dziesiątki spreparowanych CV, często wykrywanych dopiero podczas wideorozmów,
• Hakerzy z Korei Północnej stosują też bardziej wyrafinowane techniki, jak deepfake’i, infekcje przez Zooma czy zatruwanie bibliotek kodu.

Korea Północna największym zagrożeniem dla kryptosektora

Jimmy Su (szef bezpieczeństwa w Binance) w rozmowie z serwisem Decrypt określił północnokoreańskie grupy hakerskie jako „najpoważniejsze obecnie zagrożenie” dla giełd kryptowalut.

Jego zdaniem niemal wszystkie większe ataki cybernetyczne z ostatnich lat miały wspólny mianownik – podstawionego pracownika, który umożliwiał zewnętrzną infiltrację systemu.

Największym wektorem ataku są dziś hakerzy państwowi, zwłaszcza z KRLD, a szczególnie grupa Lazarus. Skupiają się na kryptowalutach od około dwóch-trzech lat i w tym czasie osiągnęli duże sukcesy.

– podkreśla Su.

Grupa Lazarus jest oficjalnie wskazywana przez FBI jako sprawca m.in. rekordowego włamania na giełdę Bybit w marcu tego roku. Straty? 1,4 miliarda dolarów – największa kradzież w historii kryptowalut.

Deepfake’i, zmieniacze głosu i wolne łącze

Binance przyjmuje codziennie dziesiątki fałszywych aplikacji rekrutacyjnych, które – jak twierdzi Su – w większości pochodzą od agentów z KRLD.

Hakerzy wykorzystują sztuczną inteligencję, aby uwiarygodnić fałszywą tożsamość kandydata: używają europejsko brzmiących nazwisk, zmieniają głos i stosują deepfake’i w czasie rozmów kwalifikacyjnych.

Jeszcze niedawno widzieliśmy CV z chińskimi czy japońskimi nazwiskami. Dziś potrafią podszywać się pod deweloperów z Europy czy Bliskiego Wschodu. To przez AI.

– tłumaczy Su.

Jednym z niewielu skutecznych wskaźników, które nadal pozwalają zdemaskować takich kandydatów, są opóźnienia w transmisji wideo wynikające z działania tłumacza i zmieniacza głosu.

Inna metoda to poproszenie kandydata o zakrycie twarzy ręką – test, który często ujawnia niedoskonałości deepfake’u.

Niektóre firmy stosują również mniej konwencjonalne techniki – np. prosząc kandydatów o powiedzenie czegoś negatywnego o Kim Dzong Unie. W Korei Północnej taki gest jest nie do pomyślenia, co pomaga odsiać podejrzanych.

Fałszywe spotkania na Zoomie i zatruwanie bibliotek

Próby infiltracji nie ograniczają się do działów HR. Hakerzy z KRLD kontaktują się też bezpośrednio z pracownikami działów partnerskich Binance, udając przedstawicieli funduszy inwestycyjnych lub projektów DeFi. W ramach „oferty pracy” próbują nakłonić ofiarę do instalacji złośliwego oprogramowania.

Tłumaczą, że wystąpiły problemy z dźwiękiem czy wideo. Następnie wysyłają link do rzekomej aktualizacji Zooma. Kliknięcie kończy się infekcją.

– opisuje Su.

Innym poważnym zagrożeniem są zatruwane biblioteki NPM (Node Package Manager), powszechnie wykorzystywane przez programistów. Wystarczy jedna linijka złośliwego kodu w popularnym module, by zagrozić całemu łańcuchowi aplikacji, które na nim bazują.

Dlatego Binance stosuje wewnętrzne audyty kodu, a także korzysta z zamkniętych kanałów informacyjnych na Telegramie i Signal, gdzie największe giełdy wymieniają się alertami o wykrytych zagrożeniach.

Pracownicy brani pod lupę

Choć Binance zapewnia, że nigdy nie zatrudniło świadomie północnokoreańskiego agenta, firma nie wyklucza, iż niektóre przypadki mogły umknąć uwadze. W ramach prewencji analizowane są więc także zachowania obecnych pracowników.

Paradoksalnie, agenci z KRLD często są najlepszymi pracownikami. Dlaczego? Bo nad jednym kontem pracuje kilku hakerów, w różnych strefach czasowych. Kiedy jeden śpi, drugi kontynuuje pracę.

– przyznaje Su. 

W efekcie wydajność i aktywność „pracownika” mogą być nienaturalnie wysokie, co stanowi kolejny punkt do weryfikacji.