Согласно последнему отчету Bloomberg и исследователей безопасности из Mandiant, спонсируемые правительством КНДР хакеры теперь уделяют больше внимания новому методу кражи средств на рынке цифровых валют.
Вместо того, чтобы взламывать уязвимые криптобиржи и другие проекты, такие как Harmony, теперь члены Lazarus Group выдают себя за ИТ-специалистов — злоумышленники крадут резюме пользователей в LinkedIn.
Один из аналитиков Mandiant Джо Добсон (Joe Dobson) говорит, что краденые резюме впоследствии редактируются и отправляются нанимающим разработчиков блокчейна компаниям — в надежде получить инсайдерскую информацию и создать бэкдоры, которые позволят использовать эти платформы позднее.
Резюме представляют собой в основном плагиат, однако некоторые из них также содержат откровенно ложную информацию. Так, некоторые включают якобы официальные документы криптовалютных бирж, которые никогда не существовали, а также расплывчатые описания вакансий, которых, вероятно, также никогда не было в компаниях, выходцем из которых представляется хакер.
Mandiant выявил несколько компаний, которые наняли предположительно фальшивых соискателей из Lazarus Group, но не стал публиковать информацию. Судя по всему, компания передаст данные напрямую подвергшимся угрозе фирмам.
В отчете указывается, что в большинстве заимствованных или фейковых резюме упоминаются навыки китайских и российских специалистов, при этом меньшее количество резюме скопировано у разработчиков из Африки и Юго-Восточной Азии. Эти резюме затем используются для создания нескольких поддельных профилей соискателей, многие из которых используют почти одинаковый язык для описания набора навыков.
В середине июля бывший агент ЦРУ Су Ким (Soo Kim) заявила, что Северная Корея продолжит кибератаки на криптовалютные компании, поскольку режим КНДР сталкивается с серьезной нехваткой продовольствия.