资金费率
资金费率热力图
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
账号安全
资讯收藏
自选币种
朝鲜黑客伪装日本开发者潜入加密货币行业
数月来,一项针对疑似朝鲜特工的网络调查揭示了一个试图在加密货币行业获取自由职业工作的威胁行为者集群。这项调查由Telefónica网络威胁情报专家、区块链安全研究员海纳·加西亚主导。加西亚发现,即使不使用VPN,朝鲜特工也能成功获取在线自由职业工作。
GitHub账户与虚假日本身份
加西亚的分析将求职者与一系列GitHub账户和虚假日本身份联系起来,这些账户被认为与朝鲜的行动有关。今年二月,加西亚邀请我们参与了他与一位自称"本木"的疑似朝鲜特工设定的模拟面试。最终,本木意外暴露了与一群朝鲜威胁行为者的联系,随后愤然退出通话。
本木的暴露
加西亚最初是在一月底在GitHub上发现本木的,当时他正在调查一个与名为"bestselection18"的疑似朝鲜威胁行为者有关的集群。该账户被广泛认为是由一位经验丰富的朝鲜IT渗透者运营的。本木是这群通过OnlyDust等自由职业平台渗透加密货币零工经济的疑似特工之一。
大多数朝鲜国家行为者不会在账户中使用真人照片,因此本木带有照片的个人资料引起了加西亚的注意。"我直接切入正题,在Telegram上给他发了信息,"加西亚解释道,他伪装成一家寻找人才公司的猎头。"这很容易。我甚至没有提到公司名字。"
2月24日,加西亚邀请我们的韩国记者参加他假公司的面试,希望在通话结束时能用韩语与这位疑似朝鲜特工交谈。我们对此很感兴趣;如果能与一位特工会面,我们就有机会了解这些策略的有效性,并希望找到应对方法。
面试中的破绽
2月25日,加西亚与我们见到了本木。我们关闭了摄像头,但本木没有。在英语面试中,本木经常用相同的回答应对不同问题,使面试变成了一场尴尬而僵硬的对话。
本木表现出与合法日本开发者不符的可疑行为。首先,他不会说日语。当我们要求他用日语自我介绍时,屏幕光线反射在他的脸上,表明他正在疯狂地搜索标签和窗口以找到帮助他回答的脚本。在长时间的紧张沉默后,我们再次用日语重复了请求。本木皱起眉头,摘下耳机,离开了面试。
更多线索
与bestselection18相比,本木显得很马虎。他在面试中通过共享屏幕暴露了关键细节。加西亚推测,本木很可能是与bestselection18合作的低级特工。本木与加西亚进行了两次通话,其中一次是与我们进行的。在这两次通话中,他的屏幕共享显示他访问了与bestselection18的私人GitHub仓库,加西亚称这是一个已失效的诈骗项目。
语言线索指向朝鲜
在2018年的一项研究中,研究人员观察到,与东亚邻国相比,韩国男性往往拥有更宽、更突出的面部结构,而日本男性通常拥有更长、更窄的脸型。虽然这是广泛的概括,但在本案例中,本木的外貌更符合研究中描述的韩国人特征。
本木的英语发音提供了更多线索。他经常将"r"开头的单词发音为"l",这是韩语使用者常见的替代。日语使用者也会混淆这两个音,但倾向于将两个音合并成一个中性的弹舌音。
在个人问题上,本木显得更放松。他说自己在日本出生和长大,没有妻子和孩子,并声称母语流利。"我喜欢足球,"他笑着说,用强烈的"p"音发音——这是另一个更典型的韩国口音英语的暗示。
朝鲜的新策略
在与我们面试约一周后,加西亚试图延长这场骗局。他给本木发信息,声称他的老板因可疑的面试解雇了他。这导致与本木进行了三周的私人信息交流。加西亚继续假装本木是日本开发者。
加西亚后来请求本木帮助找工作。作为回应,本木提出了一项交易,这为了解朝鲜的一些行动方法提供了额外的见解。"他们告诉我,他们会给我钱买一台电脑,这样他们就可以通过我的电脑工作,"加西亚说。这种安排将允许操作员从另一个位置远程访问机器并执行任务,而无需VPN连接,VPN连接可能会在流行的自由职业平台上引发问题。
调查结果与后续
加西亚和他的合作伙伴于4月16日在开源调查平台Ketman上发布了他们关于与bestselection18有关的疑似朝鲜特工集群的调查结果。几天后,我们收到了加西亚的信息:"我们面试的那个人消失了。他所有的社交媒体都变了。所有关于他的聊天记录和一切都被删除了。"从那以后,再也没有本木的消息。
疑似朝鲜特工已成为科技行业招聘人员的反复出现的问题。即使是主要的加密货币交易所也成为目标。5月2日,Kraken报告称,他们发现了一名试图在美国加密货币交易平台获得工作的朝鲜网络间谍。
联合国安理会的一份报告估计,朝鲜IT工作者每年为该政权创造高达6亿美元的收入。这些间谍能够将稳定的工资汇回朝鲜。联合国认为,这些资金有助于资助其武器计划——截至2024年1月,据信该计划包括50多枚核弹头。
