Por Ryan S. Gladwin
6 min lectura
Cada día, Binance se ve inundada con currículums falsos que seguramente fueron escritos por posibles atacantes norcoreanos, dijo el director de seguridad del exchange de criptomonedas, Jimmy Su, a Decrypt. En su opinión, los actores estatales de Corea del Norte son la mayor amenaza para las empresas en la industria de las criptomonedas hoy en día.
Su explicó que los atacantes norcoreanos han sido un problema a lo largo de los ocho años de existencia del exchange, pero recientemente, los hackers han intensificado sus acciones en el ámbito de las criptomonedas.
"El vector más grande actualmente contra la industria de las criptomonedas son los actores estatales, particularmente en la RPDC, [con] Lazarus", dijo Su a Decrypt, añadiendo que, "Han tenido un enfoque en las criptomonedas en los últimos dos, tres años y han tenido bastante éxito en sus esfuerzos". Añadió que "casi todos los grandes hackeos de la RPDC" han involucrado a un falso empleado que ayuda a facilitar el ataque.
La República Popular Democrática de Corea, también conocida como la RPDC o Corea del Norte, es el hogar del Grupo Lazarus, uno de los clanes de hackers más prolíficos del mundo. Se cree que el grupo fue responsable del infame hackeo de $1.400 millones de Bybit en marzo, el mayor hackeo en la historia de las criptomonedas, según el FBI.
Su dijo que Binance ha notado principalmente a atacantes norcoreanos intentando ser contratados en la empresa. El exchange centralizado afirma desechar currículums diariamente, basándose en su tendencia a utilizar ciertas plantillas de currículum. La empresa no estaba dispuesta a compartir más detalles sobre las señales de alerta en los currículums con Decrypt.
Si esos currículums pasan la primera revisión, la empresa debe verificar que el solicitante sea legítimo en una videollamada, un desafío que se vuelve cada vez más difícil con el aumento de la inteligencia artificial.
"Nuestro rastreo solía [mostrar] que el actor, el operativo, tendría un currículum, y en su mayoría tenían un apellido japonés o chino", explicó Su. "Pero ahora, con la inteligencia artificial y los avances en la inteligencia artificial, son capaces de fingir ser cualquier tipo de desarrollador. Más recientemente, los hemos visto ser candidatos de Europa, de Oriente Medio. Lo que hacen es que realmente utilizan un cambiador de voz durante sus entrevistas, y el video era un deepfake".
"La única detección realmente efectiva es que casi siempre tienen una conexión a internet lenta", agregó. "Lo que está sucediendo es que la traducción y el cambiador de voz están funcionando durante la llamada... por eso siempre hay retrasos".
Hay otras formas en las que Binance puede detectar a un solicitante norcoreano, como pedirles que pongan la mano sobre su rostro, lo que suele romper el deepfake, pero Binance no quiere revelar todos sus trucos por temor a que los atacantes puedan estar leyendo este artículo.
Otros empleadores han solicitado a los candidatos que digan algo negativo sobre el líder supremo norcoreano Kim Jong Un, lo cual se cree que está prohibido en el país, y han informado resultados positivos.
Binance afirma que nunca ha contratado a un actor estatal; sin embargo, no pueden estar demasiado seguros. Como resultado, incluso monitorean a sus empleados actuales en busca de comportamientos sospechosos, algo que todas las instituciones financieras hacen en cierta medida.
Irónicamente, según la investigación de Su, los empleados de la RPDC suelen estar entre los mejores desempeños de la empresa en el rol asignado. Eso probablemente se deba a que puede haber varias personas desempeñando el mismo trabajo en múltiples zonas horarias, explicó. Por lo tanto, Binance rastrea cuándo trabajan los empleados, junto con su producción.
Si un trabajador parece que nunca duerme, podría ser una señal de que forma parte del famoso Grupo Lazarus.
Hay otros dos modos de ataque frecuentes empleados por actores estatales norcoreanos, dijo Su. Uno implica envenenar bibliotecas públicas de NPM con código malicioso, mientras que el otro consiste en que el estado rebelde hace ofertas de trabajo falsas a empleados de criptomonedas.
Las bibliotecas, o paquetes, del Administrador de Paquetes de Node (NPM) son colecciones de código reutilizable que los desarrolladores utilizan con frecuencia. Los atacantes maliciosos pueden duplicar estos paquetes e insertar una pequeña línea de código que podría tener graves consecuencias, todo mientras mantiene su función original. Si esto se detecta una vez, el código malicioso se incrustará cada vez más en el sistema a medida que los desarrolladores construyen sobre él, dijo Su.
Para evitar que esto se convierta en un problema, Binance tiene que revisar el código minuciosamente. Los principales exchanges de criptomonedas también comparten inteligencia relacionada con la seguridad en grupos de Telegram y Signal, lo que significa que pueden señalar bibliotecas envenenadas y técnicas emergentes de la RPDC con sus pares.
"El grupo de la RPDC también intentará programar llamadas con los empleados que tienen contacto externo", dijo Su a Decrypt. "Ya sea como un proyecto DeFi o firma de inversión. Peor aún, los reclutarán para un trabajo de alto nivel, pagando el doble, el triple, solo para llevarlos a una entrevista".
Durante la entrevista falsa, Su explicó, los hackers de la RPDC afirmarán que la llamada tiene "algún tipo de problema de video o voz", antes de enviarle a la víctima un enlace para actualizar su Zoom. Luego, dijo, su dispositivo se infectará con malware.
Binance ha capacitado a sus empleados para informar cada intento de phishing que se haga sobre ellos. Por la frecuencia de estos informes, Su está seguro de que los atacantes de la RPDC están enviando mensajes a los empleados de Binance en LinkedIn todos los días.
Los hackers norcoreanos robaron $1.340 millones en 47 incidentes relacionados con criptomonedas el año pasado, según un informe de Chainalysis. Desde entonces, los ataques de la RPDC han persistido, con el Director de Inteligencia de Amenazas Estratégicas de Wiz estimando que $1.600 millones en criptomonedas han sido robados hasta ahora este año a través de ofertas de trabajo falsas de TI.
"El Grupo Lazarus siempre ha sido un problema", dijo Su a Decrypt. "Pero en los últimos dos, tres años, han cambiado su enfoque, más de sus recursos hacia las criptomonedas. Solo por la [gran] cantidad de dinero de la industria".
Decrypt-a-cookie
This website or its third-party tools use cookies. Cookie policy By clicking the accept button, you agree to the use of cookies.