Обережно! Нові тактики хакерів з Північної Кореї: найм "європейських агентів" для проникнення в процеси найму шифрувальних компаній

Основні моменти:

• Північнокорейські хакери використовують "європейських посередників" для проходження першого етапу співбесіди, подальші етапи викривають їхню справжню особистість;
• У 2024 році понад $2,2 мільярда криптовалюти вкрадено, північнокорейські хакерські групи викрали до 61% (**$1,34 мільярда);
• Хакери використовують підроблені особи, третіх осіб-посередників та дистанційні робочі можливості для проникнення у безпеку Web3;
• Зростання шахрайства при наймі, підробка резюме за допомогою AI та інструменти для шахрайства на співбесідах ускладнюють відбір;
• Криптовалютні компанії звужують набір, покладаючись на внутрішні рекомендації, попит на безпеку в ланцюгу та ідентифікацію різко зріс.

Інтерв'ю шахрайство: північнокорейські хакери за європейськими обличчями

Кілька місяців тому британська компанія-стартап Cheqd, що займається верифікацією особистості, провела співбесіду з розробниками програмного забезпечення. На першому етапі співбесіди цей кандидат, який, як стверджується, перебуває в Європі, продемонстрував відмінні результати: має міцні технічні знання, великий досвід і вільно володіє англійською.

Проте, під час другого раунду співбесіди та тестування програмування на місці ситуація різко змінилася: акцент співрозмовника явно став схожим на азіатський, мережа серйозно затримувалася, камера не могла включитися. Ще більш тривожним було те, що команда Cheqd, переглядаючи відеозапис екрана тестування програмування, виявила, що кандидат часто перемикався між вкладками та сторінками з корейськими символами.

Генеральний директор та засновник Cheqd Фрейзер Едвардс розповів Decrypt, що ця особа є лише одним із приблизно 5 випадків підозрілих північнокорейських громадян, які намагалися приєднатися до компанії за останній рік. Хоча проникнення Північної Кореї в технологічні та криптовалютні компанії з метою здійснення хакерських атак триває вже кілька років, компанії та рекрутери повідомляють, що ця країна тепер може наймати іноземців як "фронтових агентів", щоб допомогти їм на етапі початкового відбору.

Едвардс вказує: "Практично без винятку, перший раунд розмови звучить як у європейців, а в подальшому стає очевидно, що це звучить як з якоїсь азійської країни."

Великі втрати на ланцюгу: Північнокорейські хакери стали головною загрозою для криптовалют

Згідно з даними Chainalysis, у 2024 році хакери вкрали понад $2,2 мільярда з криптоплатформ, що на 21% більше, ніж у попередньому році. При цьому до 61% (близько $1,34 мільярда) викрадених коштів було віднесено до хакерських організацій, що підтримуються державою Північної Кореї.

Компанія в річному звіті підкреслила: "Здається, що випадки криптографічних атак з боку Північної Кореї стають дедалі частішими. Деякі з цих випадків, здається, пов'язані з північнокорейськими IT-робітниками, які все більше проникають у крипто- та Web3-компанії, підриваючи їх мережі, операції та цілісність." Звіт зазначає, що ці робітники часто використовують складні тактики, техніки та процедури (TTPs), такі як: фальшиві особи, треті особи для найму, а також маніпуляції з можливостями віддаленої роботи для отримання доступу.

Сигнал тривоги в індустрії: кілька крипто-компаній зазнали спроб проникнення

Cheqd не є винятком. Протягом останніх кількох років північнокорейські агенти намагалися (іноді успішно) проникнути в кілька криптокомпаній. На початку цього року криптовалютна біржа Kraken повідомила, що вона також стала мішенню, але, на щастя, розкрила наміри супротивника до найму.

Директор компанії Owen Healy Blockchain Talent, що займається рекрутингом у сфері блокчейн в Ірландії, Оуен Хілі, заявив, що на початкових етапах співбесід використання кандидатів, які переважно походять з Європи, як представників – це тактика, яку він почав помічати лише в останні кілька місяців. Він має значний досвід у виявленні північнокорейських проникнень, з якими стикався кілька разів за останні роки, і опублікував детальні рекомендації щодо виявлення та усунення на LinkedIn.

"Деякі прості прийоми," - каже Хілі. Наприклад, він намагатиметься поговорити з кандидатами про популярну культуру або про ситуацію в місці, де вони стверджують, що проживають - він помітив, що недопропорційна кількість людей стверджує, що живе в Торонто, Канада. "Мета полягає в тому, щоб вивести їх з заздалегідь підготовленого сценарію, і тоді стає очевидно, що вони не є тими, за кого себе видають." Але він стурбований, що ця нова стратегія може знизити ефективність таких методів. "Схоже, що це їх наступна мета: найняти агентів з легітимних країн, щоб вони представляли їх, і врешті-решт передати роботу в аутсорсинг Північній Кореї."

Хіли більше стурбований тим, що це може вплинути на ставлення компанії до віддаленого набору персоналу, особливо міжнародного, і може призвести до того, що справжніх кандидатів помилково вважатимуть працівниками з Північної Кореї лише тому, що вони перебувають в Азії.

Рекрутингові труднощі: штучний інтелект для підробки та інструменти шахрайства збільшують ризики

Водночас технології глибоко змінюють ринок праці. Один з рекрутерів, не пов'язаний з криптовалютами, поскаржився Decrypt, що зловживання ШІ призвело до надходження великої кількості "сміття ШІ" — заповненого фразами ChatGPT, не редагованими резюме та супровідними листами, створеними ШІ. У їхній компанії виявили, що кандидати завищують навички, яких у них немає, та перебільшують мовні можливості, що змусило компанію ввести більш суворі процедури перевірки для тестування кваліфікації кандидатів, що значно збільшило обсяг роботи.

Перевірити конкретні навички (наприклад, програмування або мовні здібності) особливо важко, що вимагає від рекрутерів також володіння цими навичками. Навіть тестування навичок саме по собі стало «грою в кішки-мишки» через еволюцію нових технологій.

У той час як Cheqd впроваджує тестування програмування в реальному часі, щоб забезпечити наявність у розробників справжніх знань без використання допомоги ШІ, колишній студент Колумбійського університету в США залучив $5300000 для своєї стартап-компанії Cluely, технологія якої спрямована на допомогу користувачам у шахрайстві під час співбесід, іспитів та продажів. У рекламному відео демонструється, як засновник Чунгін Лі використовує цю технологію, щоб симулювати інтерес і отримати поради під час побачень.

Ці інструменти безумовно допоможуть північнокорейським ІТ-робітникам обійти такі методи відбору, як "тест на культурний фон", а також стратегії найму не північнокорейців для отримання роботи ускладнять їх виявлення.

Компанії з криптовалют реагують: скорочення набору персоналу, зміцнення внутрішньої мережі

Для Cheqd теперішнім завданням є роздуми про те, як зміцнити свій процес набору. Компанія незабаром найме кілька нових посад, і Едвардс вважає, що процес виявлення шахрайства та спроб шахрайства буде складнішим, ніж будь-коли.

Його головна стратегія полягає в більшій залежності від існуючих мереж контактів, шукаючи рекомендації знайомих. "Ми, можливо, навіть більше не будемо публічно проводити набори, це жахливо, тому що якщо у вас немає такої мережі, то при пошуку роботи у вас практично не буде виходу", - зізнався він. Це відображає термінову потребу криптовалютних компаній у безпечності на ланцюгу та надійних рішеннях для автентифікації в умовах нинішньої загрози, оскільки набір кадрів стає ключовим фронтом Web3 безпеки.