Как Северна Корея се инфилтрира в крипто индустрията

Разследване разкрива, че повече от дузина блокчейн компании, включително добре познати имена като Injective, ZeroLend, Fantom, Sushi, Yearn Finance и Cosmos Hub, несъзнателно са наемали ИТ специалисти от Северна Корея. Тези работници, работещи под фалшива самоличност, са успели да преминат през интервюта, проверки на препоръки и са предоставили автентични трудови биографии.

Проблемът с работниците от Северна Корея

Наемането на севернокорейски работници е в нарушение на американските и международните санкции, което създава значителни правни рискове и рискове за сигурността. Няколко компании, които са наели тези работници, по-късно са били подложени на кибератаки, включително хакерски инциденти, свързани със севернокорейски агенти. Заки Манян, известен разработчик на блокчейн, сподели, че през 2021 г. по невнимание е наел двама севернокорейски ИТ работници, които да работят по блокчейна Cosmos Hub.

Стефан Ръст, основател на Truflation, също неволно е наел севернокорейски служител през 2023 г., когато компанията му е била все още в начален стадий. Работникът, който се казвал „Рюхей“ и твърдял, че е базиран в Япония, предизвикал подозрения, когато започнали да се появяват несъответствия в поведението му, като например липсващи обаждания или внезапна смяна на акцента. По-късно Руст открива, че не само един, а петима от служителите му - повече от една трета от работната му сила - са севернокорейци, част от координираните усилия на режима да осигури работа в чужбина и да насочи приходите обратно към Пхенян.

Напоследък властите в САЩ засилиха предупрежденията си за проникване на севернокорейски ИТ работници в технологични компании, особено в крипто индустрията. Според доклад на ООН от 2024 г. тези работници генерират до 600 млн. долара годишно за режима на Ким Чен Ун, финансирайки националната програма за ядрени оръжия.

Невнимание от страна на крипто компаниите

Въпреки че крипто компаниите са склонни да бъдат по-отворени към наемането на отдалечени и анонимни работници, рисковете, свързани с наемането на севернокорейски ИТ специалисти, са значителни. Тези работници не само нарушават санкциите, но и представляват риск за сигурността, тъй като много от тях са свързани със севернокорейски хакерски дейности. 

Няколко блокчейн компании, които признаха, че по невнимание са наемали севернокорейски работници, като често не са знаели за това до много по-късно. Тези компании съобщиха, че работниците са представили фалшиви документи за самоличност, но все пак са успели да изпълняват компетентно своите роли. В някои случаи обаче по-късно е установено, че работниците са превеждали приходите си на блокчейн адреси, свързани със севернокорейското правителство.

Манян, който е работил с фрийлансъри в блокчейна на Cosmos Hub, по-късно е разбрал чрез разследване на ФБР, че някои от плащанията му са отишли на адреси, свързани със Северна Корея. Това разкритие подчерта трудностите, пред които са изправени компаниите при филтрирането на такива работници по време на процеса на наемане.

Усилията на Северна Корея да проникне в крипто сектора са широко разпространени. Разследване разкри, че множество крипто фирми са наели севернокорейски ИТ работници с фалшиви самоличности, някои от тях още през 2018 г. Тези работници обикновено са кандидатствали чрез обяви за работа, платформи за съобщения като Telegram и Discord и уебсайтове, предназначени за крипто. Особено уязвими бяха стартиращите компании и по-малките екипи, тъй като при тях често липсваха задълбочени процеси за проверка на миналото.

Дори утвърдени фирми като Fantom Foundation, която идентифицира двама севернокорейски разработчици, работещи по външен проект, не бяха имунизирани срещу тези усилия за проникване. Въпреки че работниците са били ликвидирани, преди да успеят да нанесат сериозни щети, инцидентът подчертава мащаба на операциите на Северна Корея в индустрията.

Нарушаване на санкциите на ООН

Наемането на севернокорейски ИТ работници е в нарушение на санкциите на ООН и въпреки че носи правни рискове, американските власти досега са били снизходителни към преследването на компании, които са го направили несъзнателно. Тази снизходителност обаче не смекчава етичните проблеми или рисковете, свързани с подкрепата на режим, който експлоатира работниците си за собствени облаги.

Севернокорейските ИТ работници обикновено задържат само малка част от заплатите си, като по-голямата част от тях се изпраща обратно на режима. Въпреки че тези заплати може да изглеждат по-високи в сравнение със средните заплати в Северна Корея, компаниите, които несъзнателно наемат тези работници, на практика подкрепят експлоататорските практики на режима.

В крипто индустрията севернокорейските ИТ работници често са свързани с по-широки кибератаки. CoinDesk разкри няколко случая, при които компании, наели севернокорейски разработчици, по-късно са били хакнати, включително кражба на 3 млн. долара от Суши през 2021 г. Тези атаки обикновено са нискотехнологични и включват тактики на социално инженерство, при които нападателят печели доверието на целта и след това използва уязвимости.

Тъй като проблемът се задълбочи, установи, че севернокорейските ИТ работници са били активни в крипто индустрията в продължение на няколко години, като използва записи в блокчейн, вноски в GitHub и имейли от правителствени служители, за да проследи тези работници обратно към режима.

Няколко компании, като Truflation, бяха хакнати по време на разследването, като Руст загуби 5 млн. долара, след като личният му блокчейн портфейл беше компрометиран. Макар да не е ясно дали хакерската атака е била пряко свързана със севернокорейските ИТ работници, инцидентът служи като напомняне за постоянните рискове, които представляват тези тайни служители.