Gli agenti nordcoreani stanno ottenendo l'accesso al settore delle risorse digitali a una scala che, secondo gli investigatori del settore, è passata in gran parte inosservata, creando rischi significativi per le reti di assunzione, i sistemi interni e la sicurezza delle aziende di criptovalute.
Le recenti dichiarazioni di Pablo Sabbatella, membro della Security Alliance (SEAL), delineano un modello di pratiche di reclutamento nascoste, percorsi di accesso basati su malware e violazioni della sicurezza operativa, rivelando che il settore sta affrontando un'esposizione maggiore di quanto precedentemente riconosciuto.
Sabbatella ha indicato che la portata dell'infiltrazione nordcoreana è maggiore di quanto pubblicamente riconosciuto e che esiste uno scenario in cui gli agenti sono già integrati nel 15-20% delle aziende crypto. Ha inoltre affermato che dal 30% al 40% delle domande di lavoro presentate alle aziende crypto potrebbe essere presentato da individui che agiscono per conto dello Stato nordcoreano.
Ha descritto come la presenza di infiltrati non si limiti ad attacchi diretti o singoli episodi, ma si estenda alle attività quotidiane delle aziende. Dopo essere stati assunti, questi individui ottengono accesso a strumenti interni, sistemi di produzione e altre infrastrutture standard del settore. Sabbatella sostiene che questo canale di ingresso sia ormai diventato uno dei vettori preferiti dalle attività nordcoreane.
I lavoratori frontali nordcoreani e le identità remote consentono l'ingresso
Il sistema di reclutamento si avvale di intermediari che offrono identità digitali convalidate e accesso a piattaforme a cui gli utenti in Corea del Nord non possono accedere direttamente. Secondo i risultati del SEAL, tali accordi dipendono in genere da lavoratori di regioni come l'Ucraina e le Filippine, tra gli altri paesi in via di sviluppo, che vendono l'accesso ad account freelance su siti web come Upwork e Freelancer.
Per i lavori che richiedono qualifiche statunitensi, Sabbatella ha affermato che alcuni dei suoi agenti individuano un residente americano pronto a rappresentare il potenziale candidato. L'agente installerà quindi un malware sul dispositivo di quella persona, fornendole accesso costante a un indirizzo IP statunitense e al resto di Internet. In tal caso, l'agente sarà coinvolto nei colloqui e, in caso di esito positivo, lavorerà da casa.
È probabile che questi lavoratori rimangano inosservati una volta entrati, poiché rispettano le scadenze e forniscono costantemente risultati di alta qualità. Secondo Sabbatella, vengono spesso mantenuti all'interno del team per via della loro produttività, eppure i team non sono consapevoli delle minacce che comporta l'accesso ai sistemi interni.
Sabbatella ha anche sottolineato che la situazione di sicurezza nel settore delle criptovalute presenta una situazione che facilita le infiltrazioni. Ha scritto che il settore delle criptovalute ha l'OPSEC più basso dell'intero settore informatico, dove le persone avviano attività e lavorano con la propria identità completamente esposta, non adottando misure di gestione delle chiavi sicure e comunicando con persone sconosciute tramite canali non verificati.
Ha affermato che, in assenza di sicurezza operativa, le infezioni da malware e gli attacchi di ingegneria sociale possono diffondersi a un ritmo allarmante, esponendo dispositivi personali e aziendali agli aggressori che alla fine riescono ad accedere a portafogli, sistemi di comunicazione e sistemi di sviluppo.
Le motivazioni finanziarie e strategiche guidano l'attività
Il Dipartimento del Tesoro degli Stati Uniti ha recentemente riferito che, negli ultimi tre anni, il furto di criptovalute da parte di hacker nordcoreani ha superato i 3 miliardi di dollari. Si ritiene che questi fondi contribuiscano al programma di armamenti di Pyongyang, il che ha accresciuto l'importanza delle campagne di infiltrazione su scala geopolitica.
Sabbatella ha anche fatto commenti che spiegano che la sua precedente stima del 30-40% è limitata alle app di lavoro, non alle app in generale, per quanto riguarda le criptovalute.
Iscriviti subito a Bybit e richiedi un bonus di 50 $ in pochi minuti