Ripple avaa Pohjois-Koreaa koskevan uhkatiedustelunsa toimialalle: hyökkäykset eivät enää ole bugin metsästystä
- Ripple jakaa Crypto ISAC -järjestön kautta LinkedIn-profiileja, sähköposteja, sijaintitietoja ja yhteysnumeroita pohjois-korealaisista operaattoreista.
- Huhtikuun Drift-hakkerointi (285 M$) ja Kelp DAO -siltaisku (292 M$) eivät olleet älysopimusvirheitä vaan kuukausien sosiaalista manipulaatiota.
- Yhden valtiotoimijan kuukausisaalis ylitti puoli miljardia dollaria, ja sama Lazarus-attributointi heijastuu nyt Aaven oikeuskäsittelyyn.
Pohjois-korealaiset operaattorit eivät enää murra koodia vaan läpäisevät työhaastatteluja. Ripple yrittää katkaista ketjun jakamalla LinkedIn-profiilit, sähköpostit ja yhteystiedot Crypto ISAC -järjestön kautta koko toimialalle.
Drift-hakkeroinnista ei löytynyt bugia. Pohjois-korealaiset operaattorit ystävystyivät protokollan avustajien kanssa kuukausien ajan, asensivat haittaohjelmaa heidän koneilleen ja kävelivät ulos avaimien kanssa. Kun 285 miljoonaa dollaria liikkui 5. huhtikuuta, mikään perinteinen turvajärjestelmä ei nähnyt hälyttävää. Hyökkääjä oli jo sisällä.
Tähän kuvaukseen Ripple ja Crypto ISAC, kryptoteollisuuden uhkatiedustelujärjestö, perustivat maanantaina ilmoituksensa. Ripple alkaa jakaa sisäistä Pohjois-Koreaa koskevaa tiedusteluaineistoaan järjestön jäsenille. Aineisto sisältää LinkedIn-profiileja, sähköpostiosoitteita, sijaintitietoja ja yhteysnumeroita. Tarkoitus on rakentaa toimialalle yhteinen muisti hakijoista, joita yksittäinen yritys ei pysty tunnistamaan.
Logiikka: sama hakija kolmessa yrityksessä viikossa
Vuosien 2022–24 DeFi-hakkerointiaalto kohdistui koodiin. Hyökkääjät metsästivät älysopimusten haavoittuvuuksia ja tyhjensivät protokollia minuuteissa. Kun tekninen suoja tiukentui, hyökkääjät vaihtoivat kohdetta. Nyt he hakevat töitä, läpäisevät taustatarkistukset, näyttäytyvät Zoom-palavereissa ja rakentavat luottamusta kuukausien ajan. Vasta sen jälkeen tulee haittaohjelma tai pyyntö, jolla avain liikkuu.
Ripplen jakaman profiilidatan tarkoitus on tehdä tämä kuvio luettavaksi yli yritysrajojen. Tietoturvatiimi voi tunnistaa työhaastattelussa istuneen ehdokkaan samaksi henkilöksi, joka epäonnistui taustatarkistuksessa kolmessa muussa yrityksessä saman viikon aikana. Ilman jaettua rekisteriä jokainen yritys aloittaa nollasta.
– Vahvin tietoturvakanta kryptossa on jaettu, Ripple toteaa X-päivityksessään. Uhkatekijä, joka epäonnistuu yhden yrityksen taustatarkistuksessa, hakee kolmesta muusta saman viikon aikana. Ilman jaettua tiedustelua jokainen yritys aloittaa nollasta.
Puoli miljardia kuukaudessa yhdelle valtiotoimijalle
Kelp DAO:n siltahyökkäys 18. huhtikuuta vei vielä 292 miljoonaa dollaria etheriä, jonka LayerZero attribuoi Lazarus-ryhmälle. Drift ja Kelp DAO yhteensä – yli 500 miljoonaa dollaria yhdelle valtiotoimijalle kuukaudessa. Tämä on se mittakaava, jonka edessä yksittäisen yrityksen oma rekrytointitarkastus on melko avuton työkalu. Crypto ISAC -tasoinen jako pyrkii muuttamaan voimasuhteet, mutta vain jos tarpeeksi moni jäsen syöttää järjestelmään omat havaintonsa.
Sama Lazarus-attributointi on perustana Pohjois-Korean uhrien kreditorien jäädytyshakemukselle, joka käsitellään keskiviikkona Aave-tapauksessa. Kryptolehden päivän kärkiuutinen avaa sen oikeudellisen puolen tarkemmin. Toimialan reaktio kulkee siis kahdella raiteella: tuomioistuimissa jälkikäteen ja työhaastatteluissa etukäteen.
Toimiiko jaettu tiedustelu? Jää nähtäväksi. Samat operaattorit saattavat jo istua seuraavissa haastatteluissa toisessa yrityksessä, ja profiilien vaihtaminen on heille halvempaa kuin uuden älysopimuksen aukon etsiminen. Ripplen siirto kuitenkin siirtää keskustelua siitä, mitä krypton tietoturva oikeastaan on. Pelkän koodiauditin sijaan se on yhä enemmän sitä, kenelle ovet aukeavat.
