Maaliskuun lopulla sain huolestuttavan viestin Fortunen IT-päälliköltä. “On olemassa prosessi, joka paljastaa haavoittuvuuden”, hän kirjoitti ja kertoi minulle, että joku saattaa väijyä tietokoneeni ympärillä. “Minun täytyy tappaa hänet.” panikoin. Fortunen IT-osaston myöhemmin tarkistamien lokien mukaan tiedosto, jonka latasin klo 11.04, pystyi tarkkailemaan näppäimistöni näppäinpainalluksia, tallentamaan tietokoneeni näyttöä, tarkastelemaan salasanojani ja käyttämään sovelluksiani.
Suljettuani kannettavan tietokoneeni juoksin ulos Brooklynin asunnostani ja juoksin lähimmälle metroasemalle. Odotellessani junaa Fortunen toimistoon, jossa aioin puhdistaa kannettavan tietokoneen IT:n avulla, lähetin tekstiviestin toimittajalleni: “Luulen, että Korean demokraattinen kansantasavalta on saattanut huijata minut.”
Hän oli raportoinut Korean demokraattisesta kansantasavallasta ja tiesi, että maa halusi kohdistaa amerikkalaiset sijoittajat. Mutta en olisi koskaan uskonut, että heidän pahamaineiset hakkerinsa tulisivat perässäni ja antaisivat minulle ensikäden oppitunnin heidän petoksistaan.
“huijaustunnelmia”
Erakkovaltakunta on kiusannut kryptoteollisuutta vuosia. Maailmanlaajuisesta rahoitusjärjestelmästä pakotteiden vuoksi erotettu maa on turvautunut valtion tukemaan kryptovaluuttavarkauksiin maksaakseen laskunsa. Pelkästään vuonna 2025 Pohjois-Korean armeijaan liittyvät hakkerit keräsivät 2 miljardia dollaria varastettuja kryptovaluuttoja, mikä on noin 50 % enemmän kuin edellisenä vuonna, kryptovaluutta-analyysiyrityksen Chainalysisin tietojen mukaan.
Korean demokraattinen kansantasavalta on kehittänyt hyväksi havaittuja strategioita uhrien pettämiseksi. Näitä ovat yritysten suostuttelu palkkaamaan heidät IT-työntekijöiksi ja tekniikat, joilla minua petettiin.
Pohjoiskorealaiset asettivat ansansa maaliskuun puolivälissä. Syötti tuli viestin muodossa hedge-rahastosijoittajalta, joka lähetettiin Telegramin, kryptoteollisuuden suosiman viestisovelluksen kautta. Sijoittaja, jota en nimeä, koska hän oli kirjoittamieni tarinoiden anonyymi lähde, kysyi minulta, haluaisinko tavata jonkun Adam Swickin, joka oli ollut Bitcoin-kaivostyöntekijä MARA Holdingsin strategiajohtaja.
Vastasin: “Toki” (lähteeni oli historiallisesti ystävällinen ja avulias), ja he laittoivat minut ryhmäkeskusteluun. Lähteeni sanoi, että Swick tutki uuden digitaalisen omaisuusrahaston luomista ja “sillä oli suuri potentiaalinen alkusijoittaja”.
Yhtiö vaikutti epäilyttävältä. Silti hän oli valmis ainakin kuuntelemaan, mitä Swickillä oli sanottavana. Telegramissa hän pyysi minua varaamaan puhelun hänen kanssaan, ja viikkoa myöhemmin hedge-rahastolähteeni lähetti minulle Zoom-linkin. Klikkasin sitä.
Käynnistynyt ohjelma näytti samanlaiselta kuin Zoom, jota käytän joka päivä, vaikka jokin suunnittelussa tuntui hieman oudolta ja ääni ei toiminut. Minua pyydettiin päivittämään ohjelmisto ääniongelman korjaamiseksi, ja samaan aikaan Swick kirjoitti minulle: “Näyttää siltä, että Zoom toimii puolestasi.” Napsautan ladataksesi päivityksen.
Adrenaliini kiihtyi, kun huomasin, että selaimeni linkki ei ollut sama kuin minulle Telegramissa lähetetty linkki, ja pyysin siirtämään kokouksen Google Meetiin, toiseen videoneuvottelupalveluun. “Tämä antaa minulle huijaustunnelmia”, kirjoitin Swickille ja lähteelleni, hedge-rahastosijoittajalle.
Swick vaati: “Älä huoli. Kokeilin sitä PC:lläni.”
En yrittänyt ajaa käsikirjoitusta MacBookillani ja päätin paeta Zoom-kokouksesta. “Jos haluat puhua minulle, tee se Google Meetin kautta”, kirjoitin Telegramin kautta. Lähteeni potkaisi minut nopeasti pois ryhmäkeskustelusta.
virustemppuja
Kun ryntäsin ulos asunnostani käymään IT:ssä, lähetin viestin Taylor Monahanille, kokeneelle turvallisuustutkijalle. Hän on SEAL 911:n jäsen, vapaaehtoisryhmä, joka auttaa kryptohyökkäysten uhreja. Lähetin hänelle lataamani käsikirjoituksen ja saamani videoneuvottelulinkin.
“Se on Pohjois-Korea”, hän vastasi hetki myöhemmin.
Jos olisin ajanut skriptin, hakkerit olisivat varastaneet salasanani, Telegram-tilini ja kaikki salakirjoitukseni. (Onneksi omistan vähäpätöisiä määriä Bitcoinia ja muutamia muita kryptovaluuttoja.)
Hakkeroinnin luonne tarkoittaa, että on harvinaista olla 100% varma siitä, kuka on niiden takana, mutta läheltä piti -tapaukseni tapauksessa Monahan kertoi minulle, että linkki, käsikirjoitus ja jopa Adam Swickiin liittyvä väärennetty tili viittasivat Pohjois-Koreaan. Tutkijat käyttävät todisteiden yhdistelmää, mukaan lukien lohkoketjuanalyysiä, yhdistääkseen tapaukset Pohjois-Koreaan. Kaksi muuta pohjoiskorealaisia hakkereita jäljittävää tietoturvatutkijaa tuki arviotaan, kun lähetin heille käsikirjoituksen ja linkin videokonferenssiin.
“Kerro hänelle, että Tay sanoo hei lol”, Monahan sanoi viitaten pohjoiskorealaiseen, joka tuli perässäni.
Monahan ja muut tietoturvatutkijat ovat vastanneet satoihin salausalalla tapauksiin, jotka koskevat väärennettyjä videoneuvottelupuheluita. Kaava on kaavamainen, mutta tehokas.
Hakkerit ottavat haltuunsa oikean henkilön Telegram-tilin ja ottavat sitten yhteyttä heidän kontakteihinsa. Näitä kontakteja pyydetään kirjautumaan sisään videopuheluun, jossa ääni ei aina toimi. Uhreja pyydetään suorittamaan päivitys ääniongelman korjaamiseksi. Kun he suorittavat käsikirjoituksen, hakkerit saavat pääsyn uhrien kryptovaluuttoihin, salasanoihin ja Telegram-tileihin. Itse asiassa sama ryhmä pohjoiskorealaisia, jotka hyökkäsivät kimppuuni, olivat hakkeroinnin takana, joka oli suunniteltu hyväksikäyttämään ohjelmistokehittäjiä yleensä, Google sanoi keskiviikkona julkaistussa raportissa.
En ole Lamborghinia ajava Bitcoin-sijoittaja, mutta Pohjois-Korea ei kohdista vain rikkaita, Monahan kertoi minulle. Se on nähnyt hakkereiden etsivän yhä useampia kryptotoimittajia, luultavasti siksi, että heidän Telegram-tileillä on merkittävä Rolodex. On hyvin todennäköistä, että jotkut näistä kontakteista tuottavat kryptovarallisuutta.
Kuten viruksen, joka kaappaa terveitä soluja, hakkerit turmelevat nämä äskettäin vaarantuneet tilit ja hyökkäävät käyttäjien kontakteihin. Näin meinasin saada tartunnan. Tunsin oloni puututuksi, koska luulin puhuvani jollekulle, jonka tunsin.
‘teestellään’
Puhdistettuani kannettavan tietokoneeni, vaihtaessani salasanani ja kiitettyäni Fortunen IT-järjestelmänvalvojaa, soitin vihdoin lähteeni hänen matkapuhelimeesi. Ei ole yllättävää, että hänen Telegram-tilinsä hakkeroitiin maaliskuun alussa. “Minulla oli Telegramissa paljon yhteystietoja, joita en ollut tallentanut puhelimeeni tai tietokoneelleni”, hän sanoi. “Mutta minusta vielä enemmän tunnet olosi loukattuksi, kun tiedät, että joku esiintyy sinuna ja käyttää nimeäsi ihmisten huijaamiseen.”
Vaikka hän oli ottanut Telegramiin yhteyttä useita kertoja saadakseen apua kolmen viikon aikana, hän ei ollut saanut vastausta. (“Vaikka Telegram tekee kaikkensa suojellakseen tilejään, mikään alusta ei voi suojella käyttäjiä, jotka on huijattu antamaan kirjautumistietonsa huonoille toimijoille”, tiedottaja kertoi minulle lausunnossaan ja lisäsi, että sovellus jäädytti hedge-rahastosijoittajan tilin, kun otin yhteyttä.)
Soitin myös oikealle Swickille. Hakkerit olivat esittäneet häntä Telegramin kautta helmikuun alusta lähtien, ja entinen MARA Holdingsin johtaja oli saanut kymmeniä tekstiviestejä ja puheluita, joissa häneltä kysyttiin, miksi hän halusi järjestää kokouksia. Hän pyysi aina anteeksi. “Mutta jotkut heistä ovat sanoneet minulle: “Kaveri, miksi pyydät anteeksi?” Swick sanoi. “Ja minä olin kuin:” En tiedä. Luulen, että pyydän anteeksi teeskentelyä. Olen niin pahoillani, että näin tapahtui.
Swick ei tiennyt, miksi hakkerit matkivat häntä, eikä lähteeni, hedge-rahastosijoittaja, tiennyt, kuinka hänen Telegram-tilinsä oli vaarantunut. Mutta puhelumme lopussa sijoittaja ja minä törmäsimme mahdolliseen vastaukseen.
Väärennetty Swick oli yksi viimeisistä ihmisistä, jolle sijoittaja puhui ennen kuin hänen Telegram-tilinsä hakkeroitiin. “Sain Zoomiin hänen kanssaan, eikä hänen äänensä saanut yhteyttä”, lähde sanoi. “Muistan hämärästi, että yritin ladata jotain.”
Toisin sanoen lähteeni hyökkäsi todennäköisesti samat hakkerit, jotka tulivat perässäni. Kun hän ja minä ymmärsimme hänen kannettavan tietokoneensa olevan mahdollisesti vaurioitunut, hedge-rahastosijoittaja katkaisi puhelimen ja pyyhki tietokoneensa.
Otin yhteyttä väärennettyyn Adam Swickiin Telegramissa. “Hallitseeko tämä tili joku Pohjois-Koreaan liittyvästä?” kirjoitin.
En ole vieläkään saanut vastausta.
