Χάκερ από τη Βόρεια Κορέα εισέβαλαν σε μεγάλο ανταλλακτήριο κρυπτονομισμάτων που διαχειρίζεται εκατοντάδες εκατομμύρια δολάρια… και άρπαξαν ό,τι βρήκαν μπροστά τους.
Αυτό το περιστατικό συνέβη στις 8 Ιουλίου, στις 11:49 π.μ.
Με επιδέξιο τρόπο, διείσδυσαν στο ψηφιακό του θησαυροφυλάκιο, απέκτησαν τον έλεγχο και άρχισαν να κλέβουν κρυπτονομίσματα.
Μέσα σε λίγο περισσότερο από μία ώρα, είχαν εξαφανιστεί — μαζί τους και περισσότερα από 200 εκατομμύρια δολάρια τα οποία ενίσχυσαν το καθεστώς του Kim Jong Un.
Η συγκλονιστική κλοπή στο WazirX, το μεγαλύτερο ανταλλακτήριο κρυπτονομισμάτων στην Ινδία καθώς και άλλες πρόσφατες μεγάλες επιθέσεις, κατέστησαν σαφές ότι η Βόρεια Κορέα είναι πλέον ο πιο επικίνδυνος κλέφτης κρυπτονομισμάτων στον κόσμο.
Κατά τη διάρκεια της τελευταίας δεκαετίας, έχει αποσπάσει περισσότερα από 6 δισεκατομμύρια δολάρια σε κρυπτονομίσματα.
Οι χάκερ της Βόρειας Κορέας είναι τόσο υπομονετικοί όσο και τολμηροί.
Για να αποκτήσουν πρόσβαση στους υπολογιστές εταιρειών, εξετάζουν τις σελίδες των υπαλλήλων τους στο Facebook και το Instagram, επινοώντας εξατομικευμένες ιστορίες ώστε να τους ξεγελάσουν και να πατήσουν συνδέσμους με ιούς.
Σε ορισμένες περιπτώσεις, Βορειοκορεάτες χάκερ κατάφεραν ακόμα και να προσληφθούν προσφέροντας εξ αποστάσεως εργασία σε αμερικανικές εταιρείες, αποκτώντας έτσι εσωτερική πρόσβαση στα δίκτυά τους.
Αφού αποκτήσουν τη λεία τους, οι χάκερ της Βόρειας Κορέας εξαφανίζονται.
Στην περίπτωση του WazirX, οι ερευνητές πιστεύουν ότι χρησιμοποίησαν αλγορίθμους για να διασκορπίσουν τα κεφάλαια σε παγκόσμια δίκτυα κρυπτονομισμάτων πιο γρήγορα από ό,τι θα μπορούσε να κάνει οποιοσδήποτε άνθρωπος, καθιστώντας σχεδόν αδύνατο για τις αρχές να τους εντοπίσουν.
Μόλις το κρυπτονόμισμα διασκορπιστεί, οι Βορειοκορεάτες περιμένουν υπομονετικά μέχρι οι ερευνητές να χάσουν το ενδιαφέρον τους, μετατρέποντας τη λεία τους σε παραδοσιακό χρήμα μήνες ή και χρόνια αργότερα.
«Οι χάκερ της Βόρειας Κορέας παίζουν ένα διαφορετικό παιχνίδι από όλους τους άλλους» δήλωσε ο Nick Carlsen, πρώην αναλυτής του FBI και νυν ερευνητής στην TRM Labs, εταιρεία ανάλυσης blockchain.
Η κορυφαία επιτυχία της Πιονγκγιάνγκ σημειώθηκε τον Φεβρουάριο, όταν χάκερ απέσπασαν 1,5 δισεκατομμύριο δολάρια από το Bybit, ένα από τα μεγαλύτερα ανταλλακτήρια κρυπτονομισμάτων στον κόσμο — η μεγαλύτερη τέτοια ληστεία στην ιστορία.
Μάλιστα, το 2024, η Βόρεια Κορέα απέσπασε περισσότερα από 6 στα 10 δολάρια που χάθηκαν από τη βιομηχανία των κρυπτονομισμάτων, σύμφωνα με την Chainalysis.
Τα παράνομα χρήματα χρηματοδοτούν το πυρηνικό πρόγραμμα του καθεστώτος Kim και συντηρούν την οικονομία της χώρας, που τελεί υπό ασφυκτικές κυρώσεις.
Η επιτυχία της Βόρειας Κορέας οφείλεται στους τεράστιους πόρους που έχει διαθέσει σε αυτές τις επιχειρήσεις.
Το καθεστώς διοικεί περισσότερους από 8.000 χάκερ σαν να είναι μια στρατιωτική μονάδα, συγκεντρώνοντας τα λαμπρότερα μυαλά της χώρας.
Με την υποστήριξη του κράτους, οι χάκερ μπορούν να περιμένουν μήνες ή και χρόνια για να εκμεταλλευτούν ένα και μόνο ψηφιακό λάθος μιας εταιρείας.
Η οικονομική απόγνωση της Πιονγκγιάνγκ, σε συνδυασμό με την πλήρη αδιαφορία της για τις διπλωματικές συνέπειες, έχουν ενισχύσει την αποφασιστικότητά της να ξεπεράσει όλους τους ανταγωνιστές της.
«Οι Βορειοκορεάτες είναι εξαιρετικά πραγματιστές και απλά θέλουν να πετύχουν τους στόχους τους—αυτό τους κάνει μοναδικούς» δήλωσε ο Joon Kim, ιδιοκτήτης της Naru Security στη Σεούλ, η οποία συνεργάζεται με τη νοτιοκορεατική υπηρεσία πληροφοριών και την εθνική αστυνομία σε ζητήματα κυβερνοασφάλειας.
Η Πιονγκγιάνγκ δεν έχει σχολιάσει δημοσίως τις τελευταίες επιθέσεις στον τομέα των κρυπτονομισμάτων.
Έχει αρνηθεί οποιαδήποτε εμπλοκή σε άλλες κυβερνοεπιθέσεις στο παρελθόν, οι οποίες, σύμφωνα με τις αμερικανικές αρχές, περιλάμβαναν την επίθεση με e-mail της Sony Pictures Entertainment το 2014, την κλοπή 81 εκατομμυρίων δολαρίων από την κεντρική τράπεζα του Μπανγκλαντές το 2016 και την επίθεση ransomware WannaCry το 2017.
Αξιωματούχοι των ΗΠΑ και ιδιωτικοί ερευνητές ανέφεραν ότι οι Βορειοκορεάτες αφήνουν ψηφιακά ίχνη που καθιστούν σαφές ότι είναι οι ένοχοι, συμπεριλαμβανομένων γνωστών κακόβουλων κωδικών λογισμικού και πορτοφολιών κρυπτονομισμάτων που χρησιμοποιήθηκαν ξανά σε προηγούμενες κλοπές που αποδίδονται στην Πιονγκγιάνγκ.
Ανατομία μιας κλοπής
Η κλοπή από το WazirX, το ινδικό ανταλλακτήριο κρυπτονομισμάτων, ανέδειξε πολλές από τις κλασικές τακτικές της Βόρειας Κορέας.
Την ώρα εκείνη, οι υπεύθυνοι της εταιρείας πραγματοποιούσαν μια τυπική διαδικασία: μετέφεραν 625.000 δολάρια σε κρυπτονομίσματα από το “cold wallet” του WazirX, ένα ψηφιακό θησαυροφυλάκιο όπου τα ανταλλακτήρια αποθηκεύουν τα αποθέματά τους, σε ένα λεγόμενο “hot wallet”, το οποίο χρησιμοποιείται για να εξυπηρετήσει συναλλαγές και αναλήψεις πελατών.
Η μεταφορά απαιτούσε την υπογραφή τριών υπαλλήλων του WazirX και ενός εξωτερικού παρόχου υπηρεσιών.
Μόλις ολοκληρώθηκαν οι εγκρίσεις, οι Βορειοκορεάτες κατάφεραν να αποκτήσουν τον έλεγχο του cold wallet και να αδειάσουν όλα τα χρήματα σε αυτό, πάνω από 200 εκατομμύρια δολάρια, και να τα διασκορπίσουν χωρίς να τους πιάσουν.
Η διαδικασία έγινε ως εξής: Με σχεδόν το ήμισυ των αποθεμάτων της χαμένο, το WazirX αναγκάστηκε να κλείσει το ανταλλακτήριό του.
Μόνο περίπου 3 εκατομμύρια δολάρια από τα κλεμμένα κρυπτονομίσματα έχουν παγώσει, και αυτό από την Tether, την εταιρεία που εκδίδει το κρυπτονόμισμα που φέρει το όνομά της.
Εκπρόσωπος του WazirX δήλωσε ότι προσπαθούν να αποκαστήσουν τις ζημίες των χρηστών και να ενεργοποιήσουν ξανά την πλατφόρμα τους το συντομότερο δυνατό. Σε κάθε περίπτωση, ήταν σαφές ότι ήταν ιδιαίτερα ικανοί.
Οι Βορειοκορεάτες προέβησαν σε περισσότερες από 400 συναλλαγές —όλες σε κάτι παραπάνω από μία ώρα— για να μεταφέρουν τα κρυπτονομίσματα του WazirX σε πορτοφόλι που ελέγχονταν από αυτούς, υποδεικνύοντας τη χρήση αυτοματισμού, σύμφωνα με τον Benedict Hamilton, διευθυντή της Kroll, της εταιρείας που προσέλαβε το WazirX για να βοηθήσει στην ανίχνευση των κεφαλαίων και στην αναδιάρθρωση του χρέους του.
Η πλεινότητα των κεφαλαίων πιθανότατα έχει ήδη ρευστοποιηθεί, δήλωσε ο Hamilton.
Πολεμιστές της Πληροφορικής
Η ικανότητα διεξαγωγής κυβερνοεπιθέσεων εκ μέρους της Βόρειας Κορέας προκαλεί ιδιαίτερη ανησυχία στους παγκόσμιους κανονιστικούς φορείς, καθώς συμπίπτει με την έκρηξη του ενδιαφέροντος των καταναλωτών για τα κρυπτονομίσματα.
Τον Σεπτέμβριο, το FBI εξέδωσε προειδοποίηση ότι οι χάκερ της Βόρειας Κορέας πραγματοποιούν έρευνα σε εταιρείες που σχετίζονται με τα αμοιβαία κεφάλαια διαπραγματεύσιμων μετοχών που κατέχουν κρυπτονομίσματα αντί για μετοχές.
Αυτός ο τομέας της χρηματοπιστωτικής αγοράς προσέλκυσε περίπου 37 δισεκατομμύρια δολάρια καθαρών εισροών πέρυσι, από καθημερινούς Αμερικανούς επενδυτές μέχρι γίγαντες όπως η BlackRock και η Fidelity Investments.
Το FBI πρόσθεσε ότι η Βόρεια Κορέα χρησιμοποιεί δύσκολα ανιχνεύσιμες καμπάνιες phishing με προηγμένα κακόβουλα προγράμματα.
Οι χάκερ συχνά στοχεύουν άτομα που εργάζονται στη βιομηχανία κρυπτονομισμάτων και αναζητούν λεπτομέρειες για αυτούς στα μέσα κοινωνικής δικτύωσης και ιστοσελίδες.
Στη συνέχεια, εξυφαίνουν φανταστικά σενάρια με τα οποία προσελκύουν τα θύματά τους, όπως προσφορές εργασίας ή ευκαιρίες επένδυσης, δήλωσε η υπηρεσία.
Μόλις τα θύματα κάνουν κλικ σε κοινούς συνδέσμους για εικονικές κλήσεις ή αιτήσεις εργασίας, οι χάκερ αποκτούν πρόσβαση στα συστήματα, επιτρέποντάς τους να αποκτήσουν πρόσβαση στα κρυπτονομίσματα των χρηστών.
Τον Δεκέμβριο, ένα αμερικανικό δικαστήριο απήγγειλε κατηγορίες σε 14 Βορειοκορεάτες υπηκόους για φερόμενη χρήση ψευδών, κλεμμένων ή δανεισμένων ταυτοτήτων Αμερικανών πολιτών για να αποκτήσουν απομακρυσμένες θέσεις εργασίας σε αμερικανικές εταιρείες και μη κερδοσκοπικούς οργανισμούς.
Οι Βορειοκορεάτες που εμπλέκονταν στην εκστρατεία, οι οποίοι αποκαλούσαν τους εαυτούς τους «πολεμιστές της πληροφορικής», φέρονται να έβαλαν τουλάχιστον 88 εκατομμύρια δολάρια σε μισθούς για το καθεστώς Κιμ και απέκτησαν πρόσβαση στα δίκτυα υπολογιστών των εταιρειών.
Διάφορες εταιρείες κρυπτονομισμάτων έχουν πέσει θύματα Βορειοκορεατών που προσποιούνται τους υποψήφιους για δουλειά, σύμφωνα με στελέχη της βιομηχανίας.
«Η αίσθηση που έχουμε είναι ότι οι Βορειοκορεάτες χάκερ είναι όλο και πιο κοντά μας», είπε ο Ben Turner, επικεφαλής μηχανικής της Cloudburst Technologies, μιας εταιρείας δεδομένων κρυπτονομισμάτων.
