Onderzoekers op het gebied van cyberbeveiliging hebben infrastructuurverbindingen geïdentificeerd tussen de Noord-Koreaanse dreigingsactoren achter de frauduleuze IT-werknemersprogramma’s en een crowdfundingzwendel uit 2016.
Het nieuwe bewijs suggereert dat in Pyongyang gevestigde threamoret-groepen mogelijk illegale geldverdienende oplichting hebben gepleegd die dateert van vóór de inzet van IT-medewerkers, aldus SecureWorks Counter Threat Unit (CTU) in een rapport gedeeld met The Hacker News.
Het fraudeprogramma voor IT-werknemers, dat eind 2023 aan het licht kwam, houdt in dat Noord-Koreaanse actoren bedrijven in het Westen en andere delen van de wereld infiltreren door heimelijk werk te zoeken onder valse identiteiten om inkomsten te genereren voor het door sancties getroffen land. Het wordt ook bijgehouden onder de namen Famous Chollima, Nickel Tapestry, UNC5267 en Wagemole.
Volgens het Zuid-Koreaanse Ministerie van Buitenlandse Zaken (MoFA) is het IT-personeel onderdeel van het 313th General Bureau, een organisatie onder het Munitions Industry Department van de Arbeiderspartij van Korea.
Een ander opmerkelijk aspect van deze operaties is dat de IT-medewerkers routinematig naar China en Rusland worden gestuurd om te werken voor dekmantelbedrijven als Yanbian Silverstar en Volasys Silver Star, die beide eerder onderworpen waren aan sancties door het Office of Foreign Assets Control van het Amerikaanse ministerie van Financiën. (OFAC) in september 2018.
Beide entiteiten zijn ervan beschuldigd zich bezig te houden met het faciliteren van de export van arbeiders uit Noord-Korea met als doel inkomsten te genereren voor het Hermit Kingdom of de Arbeiderspartij van Korea, terwijl de ware nationaliteit van de arbeiders voor klanten wordt verdoezeld.
Er werden ook sancties opgelegd aan de Noord-Koreaanse CEO van Yanbian Silverstar, Jong Song Hwa, vanwege zijn rol bij het controleren van de “inkomstenstroom voor verschillende teams van ontwikkelaars in China en Rusland.”
In oktober 2023 kondigde de Amerikaanse regering de inbeslagname aan van 17 internetdomeinen die zich voordeden als in de VS gevestigde IT-dienstverleners, om bedrijven in het land en daarbuiten te bedriegen door Noord-Koreaanse IT-werknemers toe te staan hun ware identiteit en locatie te verbergen wanneer ze online solliciteren. freelance werk.
Onder de domeinen die in beslag werden genomen, bevond zich een website met de naam “silverstarchina(.)com.” Uit de analyse van Secureworks van historische WHOIS-gegevens is gebleken dat het adres van de registrant overeenkomt met de gerapporteerde locatie van de kantoren van Yanbian Silverstar in de prefectuur Yanbian en dat hetzelfde e-mailadres en adres van de registrant zijn gebruikt om andere domeinnamen te registreren.
Een van die domeinen in kwestie is kratosmemory(.)com, dat eerder werd gebruikt in verband met een IndieGoGo-crowdfundingcampagne uit 2016, die later oplichterij bleek te zijn nadat de donateurs geen product of terugbetaling van de verkoper hadden ontvangen. De campagne had 193 donateurs en zamelde geld in voor een bedrag van $ 21.877.
“De mensen die aan deze campagne hebben gedoneerd, hebben niets gekregen van wat hen was beloofd”, beweert een van de reacties op de crowdfundingpagina. “Ze hebben ook geen updates ontvangen. Dit was een complete oplichterij.”
Het cyberbeveiligingsbedrijf merkte ook op dat de WHOIS-registrantinformatie voor kratosmemory(.)com rond medio 2016 werd bijgewerkt om een andere persoonlijkheid weer te geven, genaamd Dan Moulding, die overeenkomt met het IndieGoGo-gebruikersprofiel voor de Kratos-zwendel.
“Deze campagne van 2016 was een poging met weinig moeite en weinig geld, vergeleken met de meer uitgebreide Noord-Koreaanse IT-werknemersprogramma’s die vanaf deze publicatie actief waren”, aldus Secureworks. “Het toont echter een eerder voorbeeld van Noord-Koreaanse dreigingsactoren die experimenteren met verschillende manieren om geld te verdienen.”
De ontwikkeling komt op het moment dat Japan, Zuid-Korea en de VS een gezamenlijke waarschuwing hebben afgegeven aan de blockchaintechnologie-industrie met betrekking tot de aanhoudende aanvallen op verschillende entiteiten in de sector door cyberactoren uit de Democratische Volksrepubliek Korea (DPRK) om cryptocurrency-overvallen uit te voeren.
“De geavanceerde aanhoudende dreigingsgroepen die verbonden zijn met de DVK, waaronder de Lazarus Group, (…) blijven een patroon van kwaadwillig gedrag in cyberspace vertonen door talloze cybercriminaliteitscampagnes uit te voeren om cryptocurrency te stelen en uitwisselingen, beheerders van digitale activa en individuele gebruikers te targeten. ’, zeiden de regeringen.
Enkele van de bedrijven die alleen al in 2024 het doelwit waren, waren DMM Bitcoin, Upbit, Rain Management, WazirX en Radiant Capital, wat leidde tot de diefstal van meer dan $659 miljoen aan cryptocurrency. De aankondiging markeert de eerste officiële bevestiging dat Noord-Korea achter de hack van WazirX, de grootste cryptocurrency-uitwisseling van India, zat.
“Dit is een cruciaal moment. We dringen aan op snelle internationale actie en steun om de gestolen bezittingen terug te krijgen”, schreef WazirX-oprichter Nischal Shetty op X. “Wees gerust, we zullen geen middel onbeproefd laten in ons streven naar gerechtigheid.”
Vorige maand onthulde blockchain-inlichtingenbureau Chainalysis ook dat aan Noord-Korea gelieerde dreigingsactoren in 2024 1,34 miljard dollar hebben gestolen via 47 cryptocurrency-hacks, vergeleken met 660,50 miljoen dollar bij 20 incidenten in 2023.
