北朝鮮労働者、130万ドルの仮想通貨盗難に関与：ZachXBT

サイバーセキュリティとブロックチェーンテクノロジーで20年以上の経験を持つベテランアナリストとして、私はZachXBTの最近の発見が憂慮すべきであると同時に興味深いものであると感じています。暗号通貨開発者を装った北朝鮮のIT職員が関与したこの作戦の規模と巧妙さは、相互接続された世界におけるサイバー脅威の進化する性質をはっきりと思い出させます。

サイバーセキュリティの専門家ZachXBTの最新のツイートによると、北朝鮮の技術専門家が仮想通貨開発者のふりをして複雑な戦略を展開している可能性があるようだ。

この作戦により、プロジェクトの財務省から 130 万ドルが盗まれ、2024 年 6 月以来活動していた 25 以上の侵害された暗号プロジェクトのネットワークが暴露されました。

ZachXBTの調査結果は、アジアに拠点を置き、おそらく北朝鮮から活動している正体不明のグループが、偽りの身分のもとで20以上の仮想通貨プロジェクトを管理し、月収30万ドルから50万ドルを稼いでいる可能性が高いことを示している。

6/ 多くの経験豊富な開発チームが以前にこれらの開発者を雇用しているため、彼らだけを非難することは完全に正当化されるわけではありません。
今後、チームは次の兆候に注意する必要があります。
1) 頻繁にお互いをポジションに推薦し合う
2) 印象的な履歴書または GitHub アクティビティ、ただし、そのような指標が常に真実であるとは限らないことに留意してください…
— ZachXBT (@zachxbt) 2024 年 8 月 15 日

窃盗と洗浄計画

状況は、総額約130万ドルが彼らの金庫から盗まれた後、正体不明のグループがZachXBTに公的に連絡し、支援を求めたことで明らかになった。彼らがチームに侵入するために偽の身分を偽装した数人の北朝鮮のIT専門家を無意識のうちに雇用していたことが判明した。

不法に持ち出された130万ドルは、資金を泥棒の口座に移し、deBridgeを使ってソラナ（SOL）からイーサリアム（ETH）に交換し、50.2ETHをTornado Cashに入金し、最終的に16.5ETHを送金するという一連の取引によって迅速に浄化された。 ETH を 2 つの異なる暗号通貨取引所に送信します。

ネットワークのマッピング

さらなる調査により、これらの有害なプログラマーはより大きなグループと関係していることが判明しました。調査員はさまざまな支払い先住所を追跡することで、過去 1 か月以内に合計約 37 万 5,000 ドルを受け取った約 21 人のグループを追跡し特定しました。

調査では、これらの活動が、2023年7月から2024年にかけて為替預金アドレスに流入した総額550万ドルの過去の取引にも関連付けられている。

精査の対象となっている支払いは、北朝鮮のIT職員と外国資産管理局（OFAC）の制裁対象者であるシム・ヒョンソプ氏に関連したものだった。調査の過程で、ロシアのテレコムの IP アドレスが米国とマレーシアに拠点を置くとされる開発者間で重複しているように見える例など、さまざまな問題のある行為が明らかになりました。

さらに、開発者が撮影されているときに意図しない開示が発生し、さらなる身元が明らかになりました。その後の調査により、対応する支払いの詳細が、OFAC のブラックリストに掲載されている人物、具体的には Sang Man Kim と Sim Hyon Sop と大きく関連していることが判明しました。

1) 特定の開発者の雇用に人材紹介会社を関与させることで、シナリオがより複雑になりました。さらに、複数のプロジェクトでは少なくとも 3 人の北朝鮮の技術専門家が活用されており、彼らは相互に雇用を推薦し合うことが多かった。

予防措置

ZachXBT は、一部の熟練したチームが知らず知らずのうちに不正なプログラマーを採用しており、その責任をチームだけに負わせるのはいくぶん不当であると指摘しました。それにもかかわらず、チームが前進するために自分たちを守るために実行できるさまざまな戦略があります。

デジタル業界で働いてきた私の豊富な経験に基づいて、開発者を雇用する際には積極的なアプローチをとることが重要であると考えています。私が効果的だと思う対策は次のとおりです。

2024-08-15 19:58