Noord-Korea infiltreert de cryptosector: Bedrijven werken onbewust met Noord-Koreaanse IT’ers
CoinDesk toont aan dat meer dan een dozijn blockchainbedrijven per ongeluk undercover IT-werknemers uit Noord-Korea hebben ingehuurd, waardoor ze risico liepen op cyberaanvallen en juridische problemen.
Het onderzoek van CoinDesk, een prominente bron voor cryptonieuws, onthult dat verschillende gerenommeerde blockchainprojecten zoals Injective, ZeroLend, Fantom, Sushi, Yearn Finance en Cosmos Hub, onbewust Noord-Koreaanse IT-werknemers hebben aangenomen. Dit nieuws werpt een schaduw op de cryptosector, die al kampt met zorgen over beveiliging en regelgeving.
Infiltratie
Noord-Koreaanse IT-werknemers, die zich vaak voordoen als professionals uit andere landen, weten hun weg te vinden in de cryptosector door gebruik te maken van vervalste identiteitsdocumenten en indrukwekkende werkervaringen. CoinDesk meldde dat de Noord-Koreanen “succesvol interviews doorstaan, referentiecontroles passeren en overtuigende werkgeschiedenissen presenteren,” waardoor ze onopgemerkt in bedrijven konden infiltreren.
Het inhuren van Noord-Koreaanse werknemers is in strijd met de wet in de VS en andere landen die sancties tegen Noord-Korea hebben ingesteld. Bovendien vormt het een groot beveiligingsrisico, aangezien verschillende bedrijven die Noord-Koreaanse IT-werknemers in dienst hadden, later slachtoffer werden van cyberaanvallen. CoinDesk ontdekte meerdere gevallen waarbij het aannemen van Noord-Koreaanse werknemers rechtstreeks leidde tot hackaanvallen.
Zaki Manian, een prominente blockchainontwikkelaar, vertelde dat hij in 2021 onbedoeld twee Noord-Koreaanse IT-werknemers had ingehuurd voor het project Cosmos Hub. “Iedereen worstelt om deze mensen eruit te filteren,” zei Manian, waarmee hij de ernst van het probleem in de cryptosector benadrukt.
Verdachte praktijken bij Truflation
Een van de meest opvallende voorbeelden is het bedrijf Truflation, opgericht door Stefan Rust. In 2023 huurde Rust een ontwikkelaar in die zich voordeed als een Japanner met de naam “Ryuhei.” Kort na de aanwerving begon Rust enkele vreemde inconsistenties op te merken, zoals het ontbreken van een recente aardbeving in Japan waar de werknemer naar verwees. Uiteindelijk ontdekte Rust dat “Ryuhei” en vier andere ingehuurde werknemers Noord-Koreanen waren. Deze ontdekking maakte deel uit van een gecoördineerde strategie van Noord-Korea om buitenlandse banen te bemachtigen en inkomsten terug te leiden naar Pyongyang.
Rust vertelde: “We waren altijd op zoek naar goede ontwikkelaars. Plotseling kwam deze ontwikkelaar in beeld.” Na het inhuren bleek echter dat de werknemer zich vreemd gedroeg, wat uiteindelijk leidde tot de onthulling dat een derde van zijn team uit Noord-Koreanen bestond. Rust gaf toe: “We hebben direct de banden verbroken en onze beveiligingsmaatregelen versterkt.”
Risico’s
In mei 2023 publiceerde de Amerikaanse schatkistafdeling een rapport waarin werd gewaarschuwd voor de infiltratiepogingen van Noord-Koreaanse IT-werknemers in de technologiesector, waaronder crypto. Volgens een rapport van de Verenigde Naties uit 2024 brengen deze IT-werknemers jaarlijks naar schatting $600 miljoen binnen voor het regime van Kim Jong-un. Naast de financiële risico’s brengen deze medewerkers ook ernstige beveiligingsrisico’s met zich mee. CoinDesk heeft meerdere voorbeelden gevonden van cryptoprojecten die werden gehackt nadat ze Noord-Koreaanse IT-werknemers hadden ingehuurd.
Een van de meest opvallende gevallen is Sushi, een bekend DeFi-protocol dat in 2021 $3 miljoen verloor als gevolg van een hack. CoinDesk slaagde erin om deze aanval te linken aan de aanwezigheid van Noord-Koreaanse IT-werknemers op de loonlijst van Sushi.
Problemen van grote proporties
De omvang van de infiltratie is schokkend. CoinDesk sprak met meer dan twaalf crypto-organisaties die bevestigden dat ze onbedoeld Noord-Koreaanse IT-werknemers hadden aangenomen. “Het percentage sollicitanten in de cryptosector dat waarschijnlijk uit Noord-Korea komt, ligt boven de 50%,” aldus Manian. “Iedereen heeft moeite om deze mensen te identificeren.”
De Noord-Koreaanse IT-werknemers werken vaak zoals typische werknemers, en werkgevers ontvingen doorgaans het verwachte werk. In werkelijkheid bleken deze werknemers echter hun inkomsten naar blockchain-adressen van de Noord-Koreaanse overheid te sturen.
Noord-Koreaanse IT-werknemers infiltreren vooral nieuwe cryptobedrijven die nog geen strikte wervingsprocedures hebben. “Waar ze het meeste succes hebben, zijn de nieuwe, onervaren teams die bereid zijn om personeel aan te nemen via Discord,” aldus Taylor Monahan, een productmanager bij de crypto wallet-app MetaMask. Ze voegde eraan toe: “Ze hebben vaak geen achtergrondcontroles en betalen meestal in crypto.”
Vooral het gebruik van vervalste documenten blijkt een effectieve strategie van Noord-Koreaanse werknemers. Veel van deze vervalsingen lijken authentiek, hoewel experts denken dat professionele diensten ze hadden kunnen detecteren. CoinDesk liet bijvoorbeeld een vervalste Japanse identiteitskaart zien die was ingediend door een Noord-Koreaanse werknemer, geïdentificeerd door blockchain-onderzoeker ZachXBT.
Schending van sancties
Het betalen van Noord-Koreaanse werknemers is een schending van sancties die zijn opgelegd door zowel de Verenigde Naties als de VS. Hoewel het opzettelijk of onopzettelijk inhuren van Noord-Koreanen illegaal is, zijn crypto-organisaties tot nu toe niet vervolgd. Toch betekent dit niet dat bedrijven immuun zijn voor juridische risico’s.
De onthullingen van CoinDesk tonen aan dat Noord-Koreaanse infiltratie in de cryptosector wijdverspreid en effectief is. Bedrijven als Injective, Fantom, Sushi, Cosmos Hub en anderen hebben onbedoeld Noord-Koreaanse IT-werknemers ingehuurd, wat leidt tot aanzienlijke veiligheids- en juridische risico’s.
