Pod koniec marca otrzymałem niepokojącą wiadomość od menedżera IT firmy Fortune. „Istnieje proces, który ujawnia lukę w zabezpieczeniach” – napisał, informując mnie, że ktoś może czaić się wokół mojego komputera. – Muszę go zabić. Wpadłem w panikę. Jak wynika z dzienników zweryfikowanych później przez dział IT Fortune, plik, który pobrałem o godzinie 11:04, umożliwiał monitorowanie naciśnięć klawiszy na klawiaturze, nagrywanie ekranu komputera, przeglądanie haseł i uzyskiwanie dostępu do aplikacji.
Po wyłączeniu laptopa wybiegłam z mieszkania na Brooklynie i pobiegłam do najbliższej stacji metra. Czekając na pociąg do biura Fortune, gdzie planowałem wyczyścić laptopa z pomocą informatyka, wysłałem SMS-a do mojego redaktora: „Myślę, że mogłem zostać oszukany przez KRLD”.
Donosił o Koreańskiej Republice Ludowo-Demokratycznej i wiedział, że kraj ten lubi atakować amerykańskich inwestorów. Ale nigdy bym nie pomyślał, że ich znani hakerzy przyjdą po mnie i dadzą mi lekcję z pierwszej ręki na temat głębi swoich oszustw.
„Oszukańcze wibracje”
Królestwo Pustelnika od lat dręczy branżę kryptowalut. Odcięty od globalnego systemu finansowego przez sankcje, kraj zwrócił się w stronę sponsorowanej przez państwo kradzieży kryptowalut, aby pomóc w opłaceniu swoich rachunków. Tylko w 2025 roku hakerzy powiązani z północnokoreańską armią zgromadzili skradzioną kryptowalutę o wartości 2 miliardów dolarów, czyli o około 50% więcej niż w roku poprzednim, wynika z danych firmy Chainalytic zajmującej się analizą kryptowalut.
Koreańska Republika Ludowo-Demokratyczna opracowała wypróbowane i prawdziwe strategie oszukiwania swoich ofiar. Należą do nich namawianie firm do zatrudniania ich jako pracowników IT oraz techniki stosowane w celu oszukania mnie.
Koreańczycy z Północy zastawili pułapkę w połowie marca. Przynęta miała formę wiadomości od inwestora funduszu hedgingowego wysłanej za pośrednictwem Telegramu, preferowanej aplikacji do przesyłania wiadomości w branży kryptowalut. Inwestor, którego nie wymieniam, ponieważ był anonimowym źródłem opowiadań, które napisałem, zapytał mnie, czy chciałbym spotkać się z kimś o nazwisku Adam Swick, który był dyrektorem ds. strategii firmy Bitcoin Miner MARA Holdings.
Odpowiedziałem: „Jasne” (moje źródło było historycznie przyjazne i pomocne), a oni umieścili mnie na czacie grupowym. Moje źródło podało, że Swick rozważał utworzenie nowego skarbca aktywów cyfrowych i „miał dużego potencjalnego inwestora początkowego”.
Firma wydawała się wątpliwa. Mimo to był skłonny przynajmniej wysłuchać, co Swick ma do powiedzenia. Na Telegramie poprosił mnie o umówienie się z nim na rozmowę, a tydzień później źródło mojego funduszu hedgingowego przesłało mi coś, co wyglądało na łącze Zoom. Kliknąłem to.
Uruchomiony program wyglądał podobnie do Zooma, którego używam na co dzień, chociaż coś w jego projekcie wydawało się trochę dziwne i dźwięk nie działał. Poproszono mnie o aktualizację oprogramowania w celu naprawienia problemu z dźwiękiem, a jednocześnie Swick napisał do mnie: „Wygląda na to, że Zoom działa w Twoim imieniu”. Kliknąłem, aby pobrać aktualizację.
Adrenalina mi podskoczyła, gdy zobaczyłam, że link w mojej przeglądarce nie jest taki sam jak ten, który wysłano mi na Telegramie i poprosiłam o przeniesienie spotkania do Google Meet, kolejnej usługi do wideokonferencji. „To wywołuje u mnie atmosferę oszustwa” – napisałem do Swicka i mojego źródła, inwestora funduszu hedgingowego.
Swick nalegał: „Nie martw się. Wypróbowałem to na swoim komputerze”.
Nie próbowałem uruchamiać skryptu na MacBooku i zdecydowałem się uciec ze spotkania na Zoomie. „Jeśli chcesz ze mną porozmawiać, zróbmy to przez Google Meet” – napisałem za pośrednictwem Telegramu. Moje źródło szybko wyrzuciło mnie z czatu grupowego.
wirusowe sztuczki
Wychodząc z mieszkania, aby odwiedzić dział IT, wysłałem wiadomość do Taylora Monahana, doświadczonego badacza bezpieczeństwa. Jest członkiem SEAL 911, grupy ochotników pomagających ofiarom ataków kryptograficznych. Wysłałem mu pobrany scenariusz i otrzymany link do wideokonferencji.
„To Korea Północna” – odpowiedział chwilę później.
Gdybym uruchomił skrypt, hakerzy ukradliby moje hasła, moje konto na Telegramie i wszelkie posiadane przeze mnie kryptowaluty. (Na szczęście posiadam znikome ilości Bitcoinów i kilku innych kryptowalut.)
Charakter hacków sprawia, że rzadko można mieć 100% pewności, kto za nimi stoi, ale w przypadku, w którym prawie nie doszło do włamania, Monahan powiedział mi, że link, scenariusz, a nawet fałszywe konto powiązane z Adamem Swickiem wskazywały na Koreę Północną. Śledczy wykorzystują kombinację dowodów, w tym analizę blockchain, aby powiązać incydenty z KRLD. Dwóch innych badaczy bezpieczeństwa śledzących hakerów z Korei Północnej potwierdziło swoją ocenę, gdy wysłałem im scenariusz i link do wideokonferencji.
„Powiedz mu, że Tay się przywita, lol” – powiedziała Monahan, odnosząc się do Koreańczyka z Północy, który przyszedł po mnie.
Monahan i inni badacze bezpieczeństwa odpowiedzieli na setki przypadków w branży kryptowalut związanych z fałszywymi połączeniami wideokonferencyjnymi. Schemat jest schematyczny, ale skuteczny.
Hakerzy przejmują kontrolę nad kontem Telegram prawdziwej osoby, a następnie kontaktują się z jej kontaktami. Osoby te proszone są o zalogowanie się do rozmowy wideo, w której niezmiennie nie działa dźwięk. Ofiary proszone są o uruchomienie aktualizacji, aby naprawić problem z dźwiękiem. Po uruchomieniu skryptu hakerzy uzyskują dostęp do kryptowalut, haseł i konta Telegram ofiar. W rzeczywistości ta sama grupa Koreańczyków z Północy, która mnie zaatakowała, stała za włamaniem mającym na celu wykorzystanie ogólnie twórców oprogramowania, stwierdził Google w opublikowanym w środę raporcie.
Nie jestem inwestorem Bitcoin jeżdżącym Lamborghini, ale Korea Północna nie skupia się wyłącznie na bogatych, powiedział mi Monahan. Widziano, jak hakerzy atakują coraz większą liczbę dziennikarzy zajmujących się kryptowalutami, prawdopodobnie dlatego, że ich konta na Telegramie mają znaczny Rolodex. Jest bardzo prawdopodobne, że niektóre z tych kontaktów generują bogactwo kryptograficzne.
Podobnie jak wirus przejmujący kontrolę nad zdrowymi komórkami, hakerzy uszkadzają nowo zainfekowane konta i atakują kontakty użytkowników. W ten sposób miałem się zarazić. Poczułem się odrętwiały, bo myślałem, że rozmawiam z kimś, kogo znam.
„Udawanie”
Po wyczyszczeniu laptopa, zmianie haseł i szczodrym podziękowaniu administratorowi IT Fortune, w końcu zadzwoniłem do mojego źródła na jego telefon komórkowy. Nic więc dziwnego, że na początku marca zhakowano jego konto na Telegramie. „Miałem w Telegramie wiele kontaktów, których nie przechowywałem w telefonie ani na komputerze” – powiedział. „Ale dla mnie jeszcze bardziej czujesz się pogwałcony, wiedząc, że ktoś się pod ciebie podszywa, po prostu używając twojego imienia i nazwiska, aby oszukać ludzi”.
Chociaż w ciągu trzech tygodni kilkakrotnie kontaktował się z Telegramem w celu uzyskania pomocy, nie otrzymał żadnej odpowiedzi. („Chociaż Telegram robi wszystko, co w jego mocy, aby chronić swoje konta, żadna platforma nie jest w stanie chronić użytkowników, którzy zostali oszukani w celu udostępnienia danych logowania złym podmiotom” – powiedział mi w oświadczeniu rzecznik, dodając, że po moim skontaktowaniu się z nami aplikacja zamroziła konto inwestora funduszu hedgingowego).
Zadzwoniłem też do prawdziwego Swicka. Od początku lutego hakerzy podszywali się pod niego za pośrednictwem Telegramu, a były dyrektor MARA Holdings otrzymał dziesiątki SMS-ów i telefonów z pytaniami, dlaczego chce umawiać się na spotkania. Zawsze przepraszał. „Ale niektórzy z nich powiedzieli mi: «Stary, dlaczego przepraszasz?»” – powiedział Swick. „A ja na to: «Nie wiem. Chyba przepraszam, że udawałam. Bardzo mi przykro, że tak się stało.»”
Swick nie wiedział, dlaczego hakerzy podszywali się pod niego, a moje źródło, inwestor funduszu hedgingowego, nie wiedziało, w jaki sposób włamano się na jego konto na Telegramie. Jednak pod koniec naszej rozmowy telefonicznej inwestor i ja natknęliśmy się na możliwą odpowiedź.
Fałszywy Swick był jedną z ostatnich osób, z którymi rozmawiał inwestor, zanim włamano się na jego konto na Telegramie. „Włączyłem się z nim w Zoom i okazało się, że nie można nawiązać połączenia audio” – podało moje źródło. „Jak przez mgłę pamiętam, jak próbowałem coś pobrać.”
Innymi słowy, moje źródło prawdopodobnie zostało zaatakowane przez tych samych hakerów, którzy przyszli po mnie. Kiedy on i ja zdaliśmy sobie sprawę, że jego laptop jest potencjalnie uszkodzony, inwestor z funduszu hedgingowego rozłączył się i wyczyścił swój komputer.
Skontaktowałem się z fałszywym Adamem Swickiem na Telegramie. „Czy to konto jest kontrolowane przez osobę powiązaną z KRLD?” napisałem.
Nadal nie otrzymałem odpowiedzi.
