Kraken, en fremtredende kryptovalutabørs, har avdekket et sofistikert infiltrasjonsforsøk av en nordkoreansk hacker som utga seg for å være en jobbsøker.
Sikkerhets- og rekrutteringsteamene førte kandidaten videre gjennom ansettelsesprosessen. Målet var å studere deres strategier og samle inn viktig innsikt.
Hvordan en nordkoreansk hacker prøvde å infiltrere Kraken
Kraken beskrev hendelsen i et nylig blogginnlegg 1. mai. Hackeren søkte på en ingeniørstilling ved børsen, og fremsto først som en legitim kandidat, angivelig ved navn Steven Smith. Imidlertid dukket det opp flere røde flagg under ansettelsesprosessen.
“Det som startet som en rutinemessig ansettelsesprosess for en ingeniørstilling, ble raskt til en etterretningsoperasjon, da våre team nøye førte kandidaten gjennom vår ansettelsesprosess for å lære mer om deres taktikker på hvert trinn i prosessen,” bemerket Kraken .
Kandidaten brukte et annet navn under intervjuet og byttet stadig stemmer, noe som antydet coaching. De søkte med en e-postadresse knyttet til nordkoreanske hackere.
Videre avdekket etterforskningen av åpen kildekode-intelligens (OSINT) kandidatens involvering i et nettverk av falske identiteter.
“Dette betydde at vårt team hadde avdekket en hackeroperasjon der en person hadde etablert flere identiteter for å søke på stillinger i kryptoverdenen og utover. Flere av navnene hadde tidligere blitt ansatt av flere selskaper, da vårt team identifiserte arbeidsrelaterte e-postadresser knyttet til dem. En identitet i dette nettverket var også en kjent utenlandsk agent på sanksjonslisten,” sto det i bloggen.
I tillegg pekte tekniske inkonsekvenser i deres oppsett, som bruk av eksterne, samlokaliserte Mac-desktopper som ble aksessert via en VPN og endrede ID-er, på et infiltrasjonsforsøk. Denne informasjonen bekreftet at kandidaten sannsynligvis var en statssponset hacker.
I et siste intervju med kandidaten, bekreftet Krakens sikkerhetssjef, Nick Percoco, og noen teammedlemmer selskapets mistanker. Kandidatens manglende evne til å verifisere sin plassering eller svare på spørsmål om sin by og statsborgerskap avslørte dem som en bedrager.
“Deres jobb er å starte ansettelse for å stjele intellektuell eiendom, stjele penger fra disse selskapene, ta med seg en lønnsslipp hjem, og gjøre det på en omfattende måte,” fortalte Percoco til CBS om hackerne.
FinCEN foreslår forbud mot Huione Group på grunn av nordkoreanske bånd
I mellomtiden, i en annen utvikling, har US Financial Crimes Enforcement Network (FinCEN) foreslått å forby det Kambodsja-baserte Huione Group fra det amerikanske finanssystemet. Departementet identifiserte Huione som en nøkkelfasilitator for nordkoreanske hackergrupper, inkludert de som er involvert i cyberran og “pig butchering” kryptovalutasvindel.
“Huione Group har etablert seg som markedsplassen for valg for ondsinnede cyberaktører som DPRK og kriminelle syndikater, som har stjålet milliarder av dollar fra vanlige amerikanere,” sa finansminister Scott Bessent .
FinCEN anklaget gruppen for å ha hvitvasket over $ 4 milliarder i ulovlige midler mellom august 2021 og januar 2025. Ifølge departementet er Huiones nettverk, inkludert Huione Pay, Huione Crypto og Haowang Guarantee, en foretrukket markedsplass for kryptovalutakriminelle, og tilbyr tjenester som betalingsbehandling og en ulovlig nettbasert markedsplass.
“Dagens foreslåtte tiltak vil kutte Huione Groups tilgang til korrespondentbanktjenester, og svekke disse gruppenes evne til å hvitvaske sine ulovlige gevinster. Finansdepartementet forblir forpliktet til å forstyrre ethvert forsøk fra ondsinnede cyberaktører på å sikre inntekter fra eller for deres kriminelle planer,” la Bessent til.
Disse hendelsene fremhevet et mønster av nordkoreanske cyberangrep på kryptovalutasektoren. I 2024 stjal hackere over $ 659 millioner fra kryptofirmaer.
Ifølge en felles uttalelse fra USA, Japan og Republikken Korea, rettet nordkoreanske hackere seg mot industrien ved å bruke taktikker som sosial manipulering og skadelig programvare (f.eks. TraderTraitor, AppleJeus). I tillegg ble nordkoreanske IT-arbeidere identifisert som interne trusler mot private selskaper.
Tidligere har BeInCrypto-rapporter fremhevet den beryktede Lazarus Group, en nordkoreansk statssponset hackerkollektivs involvering i Bybit og Upbit tyverier. Videre sto hackergrupper fra landet også bak Radiant Capital-hacket og DMM Bitcoin-utnyttelsen.
Faktisk avdekket nylig on-chain etterforsker ZachXBT betydelig nordkoreansk involvering i desentraliserte finansprotokoller (DeFi), hvor noen av dem er avhengige av nesten 100 % av deres månedlige volum/avgifter fra Den demokratiske folkerepublikken Korea (DPRK).
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
