Eine sechsmonatige Untersuchung mit Unterstützung der Ethereum Foundation hat aufgedeckt, wie sich nordkoreanische Aktivisten unter falschen Identitäten stillschweigend in Dutzende von Web3-Teams eingeschlichen haben.
Zusammenfassung
- Die Ethereum Foundation unterstützte eine sechsmonatige Untersuchung, bei der 100 nordkoreanische Mitarbeiter in Web3-Firmen identifiziert wurden.
- Ketman Project alarmierte 53 Krypto-Teams, nachdem es gefälschte Entwickleridentitäten und verdächtige GitHub-Aktivitäten aufspürte.
- Die Ermittler brachten das Muster mit einer lang andauernden Infiltration der Demokratischen Volksrepublik Korea in Verbindung, die im Zusammenhang mit großen Machenschaften der Lazarus-Gruppe stand.
Die Ethereum Foundation teilte am Donnerstag mit, dass ihre ETH-Rangers-Initiative eine sicherheitsorientierte Initiative finanziert habe, bei der 100 mit der Demokratischen Volksrepublik Korea verbundene Personen identifiziert wurden, die in Kryptounternehmen tätig sind. Der ProgrammDas Ende 2024 ins Leben gerufene Programm soll die Arbeit an öffentlichen Gütern durch Stipendien für unabhängige Forscher unterstützen.
Einer dieser Empfänger nutzte die Finanzierung, um das Ketman-Projekt zu starten, das sich auf die Verfolgung „falscher Entwickler“ konzentrierte, die in Web3-Organisationen arbeiten. Im Laufe des sechsmonatigen Zeitraums hat das Projekt 100 mutmaßliche IT-Mitarbeiter der DVRK identifiziert und 53 Krypto-Projekte kontaktiert, die sie möglicherweise unwissentlich beschäftigt haben.
„Diese Arbeit befasst sich direkt mit einer der dringendsten betrieblichen Sicherheitsbedrohungen, denen das Ethereum-Ökosystem heute ausgesetzt ist“, sagte die Stiftung.
Die Ergebnisse ergänzen eine wachsende Zahl von Beweisen, die zeigen, dass mit Nordkorea verbundene Entwickler jahrelang in der gesamten Kryptoindustrie Fuß gefasst haben und sich oft durch glaubwürdige technische Beiträge und erfundene berufliche Identitäten in Teams integriert haben.
Der Sicherheitsforscher und MetaMask-Entwickler Taylor Monahan hat zuvor sagte Solche Aktivitäten reichen bis in die frühe DeFi-Ära zurück, als mit der DVRK verbundene Entwickler zu weit verbreiteten Protokollen beitrugen.
„Viele IT-Mitarbeiter der DVRK haben die Protokolle, die Sie kennen und lieben, bereits im DeFi-Sommer entwickelt“, sagte sie und wies darauf hin, dass mehr als 40 Plattformen zu unterschiedlichen Zeitpunkten auf solche Mitwirkenden vertraut haben. Behauptungen über umfassende Erfahrung seien nicht immer erfunden, fügte sie hinzu und sagte, ihre „sieben Jahre Erfahrung in der Blockchain-Entwicklung“ seien „keine Lüge“.
Ermittler haben diese Operationen stets mit der Lazarus Group in Verbindung gebracht, einem staatlich unterstützten Kollektiv, das in den letzten Jahren mit einigen der größten Kryptodiebstähle in Verbindung steht. Schätzungen von R3ACH-Analysten gehen davon aus, dass sich die gesamten gestohlenen Gelder seit 2017 auf rund 7 Milliarden US-Dollar belaufen, darunter Angriffe wie der Ronin-Bridge-Exploit im Wert von 625 Millionen US-Dollar, der WazirX-Verstoß im Wert von 235 Millionen US-Dollar und der Bybit-Vorfall im Wert von 1,4 Milliarden US-Dollar.
Einfache Taktik, beharrliche Ausführung
Trotz des Ausmaßes des Schadens basieren viele Infiltrationsversuche eher auf relativ einfachen Methoden als auf ausgefeilten Exploits. Analysten sagen Beharrlichkeit, Social Engineeringund Identitätsschichtung erweisen sich oft als effektiver als technische Raffinesse.
Der unabhängige Blockchain-Ermittler ZachXBT stellte fest, dass viele dieser Operationen „grundlegend und in keiner Weise anspruchsvoll“ seien, und fügte hinzu: „Das Einzige daran ist, dass sie unerbittlich sind.“ Die Kontaktaufnahme erfolgt in der Regel über Bewerbungen, LinkedIn-Profile, E-Mail-Austausch und Remote-Interviews, sodass Mitarbeiter schrittweise Vertrauen innerhalb der Teams aufbauen können.
Die jüngsten Vorfälle haben gezeigt, wie weit solche Taktiken gehen können. Der 280-Millionen-Dollar-Exploit von Drift Protocol war mit einer mit Nordkorea verbundenen Gruppe verbunden, wobei die Angreifer Vermittler und vollständig konstruierte professionelle Identitäten nutzten, um Glaubwürdigkeit zu erlangen, bevor sie den Verstoß ausführten.
Warnsignale und Erkennungsbemühungen nehmen zu
Details aus dem Ketman-Projekt geben Aufschluss darüber, wie diese Mitarbeiter innerhalb der Entwicklungsteams Deckung wahren. Zu den häufigen Indikatoren gehören die Wiederverwendung von Avataren oder Profilmetadaten über mehrere GitHub-Konten hinweg, die unbeabsichtigte Offenlegung nicht verwandter E-Mail-Adressen während der Bildschirmfreigabe und die Verwendung von Systemspracheinstellungen, die im Widerspruch zu den angegebenen Nationalitäten stehen.
Neben seiner Ermittlungsarbeit entwickelte das Projekt ein Open-Source-Tool, das verdächtige GitHub-Aktivitäten kennzeichnen soll. In Zusammenarbeit mit der Security Alliance wurde außerdem ein Branchenrahmen zur Identifizierung von mit der DVRK verbundenen IT-Mitarbeitern mitverfasst.
