Ein Mitarbeiter der Ethereum Foundation identifiziert 100 nordkoreanische IT-Agenten in Web3-Unternehmen.

Das Ketman-Projekt, das im Rahmen des ETH Rangers-Programms ein Stipendium erhielt, identifizierte innerhalb von sechs Monaten hundert nordkoreanische IT-Fachkräfte, die in Krypto-Unternehmen unter fiktiven Identitäten arbeiteten.

Die Ethereum Foundation hat einen Bericht über das ETH Rangers-Programm veröffentlicht, eine Initiative, die Ende 2024 ins Leben gerufen wurde, um unabhängige Forscher zu finanzieren, die an der Sicherheit des Ökosystems arbeiten.

Einer der Stipendiaten leitete die Finanzierung des Ketman-Projekts um, das sich auf die Suche nach „fiktiven Entwicklern“ in der Kryptoindustrie spezialisiert hat. Die Forscher konzentrierten sich auf Operationen, die von Nordkorea unterstützt werden.

Nordkoreanische IT-Spezialisten arbeiten seit Jahren unter falscher Identität in Web3-Unternehmen und beziehen Gehälter, während sie Informationen liefern und potenziell Zugang zur Projektinfrastruktur verschaffen. Die bekanntesten Operationen werden von der Lazarus-Gruppe durchgeführt.

Im Laufe von sechs Monaten dokumentierte das Ketman-Team 100 nordkoreanische Agenten, die in Web3-Organisationen aktiv waren, und informierte 53 Projekte über die wahrscheinliche Anwesenheit aktiver Agenten in ihren Reihen.

Laut auf der Ketman-Website veröffentlichten Materialien konzentrierten sich Experten auf die identifizierten Merkmale der „Taktiken, Verhaltensweisen und Betriebsmodelle“, die nordkoreanischen IT-Betreibern innewohnen, insbesondere:

  • Wiederverwendung von Avataren und Profilmetadaten über mehrere GitHub-Konten unter verschiedenen Namen;
  • Versehentliche Offenlegung von nicht zusammenhängenden E-Mail-Adressen während der Bildschirmfreigabe bei Telefonaten;
  • Standardmäßige Systemspracheneinstellungen, die im Widerspruch zur angegebenen Staatsangehörigkeit stehen;
  • spezifische Verhaltensmuster in der Kommunikation und atypische Arbeitszeiten für die angegebene Zeitzone.

Die Methodik zur Erkennung nordkoreanischer Agenten im Projekt und der Ethereum Foundation wurde nicht im Detail offengelegt.

Neben der Ermittlungsarbeit hat Ketman ein Open-Source-Tool zur automatischen Erkennung verdächtiger Aktivitäten auf GitHub entwickelt. Zudem hat das Unternehmen in Zusammenarbeit mit der gemeinnützigen Security Alliance ein branchenübliches Verifizierungsframework zur Identifizierung nordkoreanischer IT-Fachkräfte im Einstellungsverfahren geschaffen.

„Diese Arbeit befasst sich direkt mit einer der dringlichsten operativen Sicherheitsbedrohungen, denen das Ethereum-Ökosystem heute ausgesetzt ist“, erklärte die Ethereum Foundation in einem Bericht im Anschluss an die ETH Rangers.

Die Stiftung unterstützte im Rahmen der Initiative insgesamt 17 Stipendiaten, die in einem breiten Spektrum von Bereichen tätig waren, von der Schwachstellenforschung und Sicherheitstools bis hin zu Bildung, Bedrohungsanalyse und Reaktion auf Sicherheitsvorfälle.

Zur Erinnerung: Am 1. April wurde die in Solana ansässige DeFi-Plattform Drift Protocol Opfer eines Hackerangriffs, bei dem 280 Millionen US-Dollar erbeutet wurden. Laut Einschätzung des Projektteams und von Cybersicherheitsexperten stecken Hacker aus Nordkorea hinter dem Angriff.

No votes yet.
Please wait...

Leave a Reply

Your email address will not be published. Required fields are marked *