Коли OPSEC зазнає невдачі: чому криптоінфільтрація Північної Кореї є системною проблемою галузі

Криптоіндустрія стикається з кризою безпеки, яка набагато серйозніша, ніж зазвичай визнається. За словами Пабло Саббателли, засновника компанії Web3 з безпеки Opsek та члена Security Alliance, системні збої в операційній безпеці створили ідеальні умови — дозволяючи агентам з Північної Кореї закріпитися приблизно в 15%-20% криптовалютних компаній по всьому світу.

Масштаб проникнення

Ці цифри вражають. В інтерв’ю DL News після його виступу на конференції Devconnect у Буенос-Айресі Саббателла повідомив, що заявки на роботу у криптосфері можуть бути заповнені операторами з Північної Кореї, і за оцінками, 30%-40% з них можуть походити від державних агентів. Це відкриття підкреслює ширшу правду: «Ситуація з Північною Кореєю набагато гірша, ніж уявляють», — попередив Саббателла.

Фінансові ставки величезні. Міністерство фінансів США у листопаді повідомило, що хакери з Північної Кореї за останні три роки вивели понад 3 мільярди доларів у криптовалюті — кошти, безпосередньо спрямовані на програми розробки ядерної зброї в Пхеньяні.

Як працює проникнення

Модель операцій базується на експлуатації людських вразливостей, а не лише технічних уразливостей. Робітники з Північної Кореї обходять міжнародні санкції, делегуючи свої особистості через проксі-систему. Рекрутери, які працюють на фріланс-платформах, таких як Upwork і Freelancer, активно наймають людей з України, Філіппін та інших країн, що розвиваються, пропонуючи прості умови: скомпрометовані працівники отримують 20% від заробітку, тоді як агенти з Північної Кореї залишають собі 80%.

Стратегія навмисно соціальна. Саббателла пояснив схему: агенти видають себе за неангломовних, яким потрібна допомога з проходженням співбесіди, а потім заражають комп’ютер свого «фронт-енд» оператора шкідливим програмним забезпеченням, щоб отримати IP-адреси з США. Це дає їм більший доступ до інтернету, ніж безпосередні операції з Північної Кореї.

Після проникнення в компанії ці інфільтратори стають безцінними для керівництва. Вони демонструють виняткову продуктивність, працюють багато годин і не викликають скарг — фактори, що захищають їх від виявлення та звільнення.

Криза OPSEC: найбільша вразливість криптоіндустрії

Однак усе це було б неможливим без фундаментальної слабкості самої галузі. «Мабуть, криптоіндустрія має найгіршу операційну безпеку у всій індустрії комп’ютерних технологій», — прямо заявив Саббателла. Засновники залишаються відкритими для розкриття особистих даних, управління приватними ключами є недостатнім, а співробітники залишаються вразливими до соціальної інженерії.

Ця несправність у операційній безпеці створює каскадні ризики. Коли агенти з Північної Кореї отримують легальний доступ до систем через найм, вони не просто крадуть негайні кошти — вони маніпулюють інфраструктурою, що підтримує великі криптооперації, і отримують доступ до чутливих організаційних активів. Проблема ускладнюється, оскільки «майже кожен комп’ютер буде заражений шкідливим програмним забезпеченням хоча б один раз у житті», — зазначив Саббателла.

Виявлення та запобігання

Практичний тест для визначення скомпрометованих агентів — прямі питання про геополітичних діячів. Агенти, що працюють під контролем Північної Кореї, не можуть висловлювати критику — ідеологічні обмеження заважають їм давати щирі відповіді, які б звичайні працівники дали природно.

Наступний крок — це фундаментальна переоцінка операційних безпекових рамок криптокомпаній. Поки галузь не надасть пріоритету OPSEC і протоколам безпеки, що відповідають традиційним технологічним секторам, вона залишатиметься вразливою до кампаній проникнення за підтримки держави, які розглядають інфраструктуру криптовалют як фінансову ціль і стратегічний актив.