3 Minuty
Přehled: Odhalené zařízení severokorejského IT pracovníka přineslo nové poznatky o organizované skupině, která cílila na kryptoměnové projekty a vyústila v červnu 2025 v útok na tržiště fan-tokenů Favrr. Blockchain analytik ZachXBT vysledoval pohyb kryptoměnových peněženek a digitální stopy na základě screenshotů, exportů z Google Disku a Chrome profilů nalezených na kompromitovaném počítači. Jedna konkrétní adresa peněženky, 0x78e1a, byla přímo spojena s odcizenými prostředky v incidentu Favrr.
Uvnitř operace: Falešné identity, vzdálená práce a Google nástroje Vyšetřování odhalilo malý tým šesti operátorů, kteří vytvářeli nejméně 31 falešných identit. Za účelem získání důvěryhodné pozice ve vývoji blockchainu shromažďovali vládní doklady, telefonní čísla a kupovali účty na LinkedIn a Upworku k posílení svého krytí. V zařízení byly nalezeny také scénáře pohovorů, kde tvrdili, že mají pracovní zkušenosti z projektů jako Polygon Labs, OpenSea či Chainlink.
Pracovní postup založený na Google službách a vzdáleném přístupu Zásadní roli v jejich pracovním toku sehrály Google nástroje. Tabulky na Disku monitorovaly rozpočty a harmonogramy, profily v Chromu usnadňovaly přístup ke zřízeným účtům a Google Překladač překonával jazykovou bariéru mezi korejštinou a angličtinou. Zařízení rovněž obsahovalo tabulky s evidencí pronajatých počítačů a plateb za VPN, které byly používány k zakládání nových online účtů.
Nástroje k maskování polohy a kontrole cílů Skupina využívala software pro vzdálený přístup, například AnyDesk, aby mohla ovládat systémy klientů bez odhalení svých fyzických poloh. Logy z VPN ukazují, že operátoři směrovali internetový provoz přes různé regiony ke skrytí severokorejských IP adres. Díky tomu získali přístup ke kódovým repozitářům, backendovým systémům i infrastruktuře kryptoměnových peněženek při minimálním riziku odhalení.
Modus operandi: Vzdálené práce jako vstupní brána Bezpečnostní experti opakovaně upozorňují na taktiku, kdy severokorejští IT pracovníci získávají reálné pozice na dálku, aby snadněji pronikli do kryptoměnového prostředí. Tím, že se vydávají za vývojáře na volné noze, získávají přístup do citlivých vývojových prostředí. Součástí nalezených dokumentů byly i poznámky a přípravy k pohovorům, které pravděpodobně používali během videohovorů s potenciálními zaměstnavateli – to dokazuje pečlivě propracovanou strategii sociálního inženýrství.
Širší dopady na bezpečnost blockchainu Materiály ze zařízení ukazují, že tým analyzoval nasazování tokenů na různých blockchainech, zaměřoval se na AI firmy v Evropě a připravoval nové cíle v kryptoměnovém sektoru. Pro kryptoměnové burzy, tržiště s tokeny i blockchainové projekty to podtrhuje nutnost důsledných kontrol u vzdálených zaměstnanců, vícestupňových přístupových práv, robustního monitoringu kódových repozitářů a pevných bezpečnostních zásad pro kryptoměnové peněženky.
Závěr Incident Favrr a odhalené zařízení ukazují, jak organizovaná a vynalézavá může být hrozba využívající sociální inženýrství, nakoupené identity a běžné cloudové služby pro infiltrace firem v oblasti kryptoměn. Oddělený přístup pracovníků k vývoji, důsledná ověřování identit a pravidelné sledování neobvyklých pohybů v peněženkách jsou klíčové pro ochranu před podobnými útoky.
Zdroj: crypto
Komentáře