Kraken, en fremtrædende kryptovalutabørs, har afsløret et sofistikeret infiltrationsforsøg af en nordkoreansk hacker, der udgav sig for at være en jobkandidat.
Sikkerheds- og rekrutteringsteams førte kandidaten videre gennem ansættelsesprocessen. Målet var at studere deres strategier og indsamle vigtige indsigter.
Hvordan en nordkoreansk hacker forsøgte at infiltrere Kraken
Kraken beskrev hændelsen i et nyligt blogindlæg den 1. maj. Hackeren ansøgte om en ingeniørstilling på børsen og fremstod i starten som en legitim kandidat, angiveligt ved navn Steven Smith. Men flere advarsler dukkede op under ansættelsesprocessen.
“Hvad der startede som en rutinemæssig ansættelsesproces for en ingeniørstilling, blev hurtigt til en efterretningsindsamling, da vores teams omhyggeligt førte kandidaten gennem vores ansættelsesproces for at lære mere om deres taktikker på hvert trin i processen,” bemærkede Kraken.
Kandidaten brugte et andet navn under interviewet og skiftede konstant stemme, hvilket antydede coaching. De ansøgte med en e-mail forbundet til nordkoreanske hackere.
Desuden afslørede Open-Source Intelligence-gennemgangen (OSINT) kandidatens involvering i et netværk af falske identiteter.
“Dette betød, at vores team havde afsløret en hackingoperation, hvor en person havde oprettet flere identiteter for at ansøge om stillinger inden for kryptoområdet og videre. Flere af navnene var tidligere blevet ansat af flere virksomheder, da vores team identificerede arbejdsrelaterede e-mailadresser knyttet til dem. En identitet i dette netværk var også en kendt udenlandsk agent på sanktionslisten,” stod der i bloggen.
Derudover pegede tekniske uoverensstemmelser i deres opsætning, som brugen af fjernbetjente, samplacerede Mac-desktops tilgået via en VPN og ændrede ID’er, på et infiltrationsforsøg. Denne information bekræftede, at kandidaten sandsynligvis var en statsstøttet hacker.
I et sidste interview med kandidaten bekræftede Krakens Chief Security Officer, Nick Percoco, og nogle teammedlemmer virksomhedens mistanker. Kandidatens manglende evne til at bekræfte deres placering eller besvare spørgsmål om deres by og statsborgerskab afslørede dem som en bedrager.
“Deres job er at starte ansættelse for at stjæle intellektuel ejendom, stjæle penge fra disse virksomheder, få en lønseddel og gøre det på en udbredt måde,” fortalte Percoco CBS om hackerne.
FinCEN foreslår forbud mod Huione Group på grund af nordkoreanske forbindelser
I mellemtiden, i en anden udvikling, har det amerikanske Financial Crimes Enforcement Network (FinCEN) foreslået at forbyde det Cambodja-baserede Huione Group fra det amerikanske finansielle system. Afdelingen identificerede Huione som en nøglefacilitator for nordkoreanske hackergrupper, herunder dem, der er involveret i cyberrøverier og “pig butchering” kryptovaluta-svindel.
“Huione Group har etableret sig som det foretrukne marked for ondsindede cyberaktører som DPRK og kriminelle syndikater, der har stjålet milliarder af dollars fra almindelige amerikanere,” sagde finansministeriets sekretær Scott Bessent .
FinCEN anklagede gruppen for at have hvidvasket over 4 milliarder dollars i ulovlige midler mellem august 2021 og januar 2025. Ifølge afdelingen er Huiones netværk, herunder Huione Pay, Huione Crypto og Haowang Guarantee, et foretrukket marked for kryptovaluta-kriminelle, der tilbyder tjenester som betalingsbehandling og et ulovligt online marked.
“Dagens foreslåede handling vil afskære Huione Groups adgang til korrespondentbankvirksomhed, hvilket forringer disse gruppers evne til at hvidvaske deres ulovligt opnåede gevinster. Finansministeriet forbliver forpligtet til at forstyrre ethvert forsøg fra ondsindede cyberaktører på at sikre indtægter fra eller til deres kriminelle planer,” tilføjede Bessent.
Disse hændelser fremhævede et mønster af nordkoreanske cyberangreb på kryptovalutasektoren. I 2024 stjal hackere over 659 millioner dollars fra kryptofirmaer.
Ifølge en fælles erklæring fra USA, Japan og Republikken Korea, målrettede nordkoreanske hackere industrien ved hjælp af taktikker som social engineering og malware (f.eks. TraderTraitor, AppleJeus). Desuden blev nordkoreanske IT-arbejdere identificeret som insidertrusler mod private virksomheder.
Tidligere har BeInCrypto-rapporter fremhævet den berygtede Lazarus Group, en nordkoreansk statsstøttet hacking-kollektivs involvering i Bybit og Upbit tyverier. Desuden stod hackergrupper fra landet også bag Radiant Capital-hacket og DMM Bitcoin-udnyttelsen.
Faktisk afslørede on-chain efterforsker ZachXBT for nylig betydelig nordkoreansk involvering i decentraliserede finansprotokoller (DeFi), hvor nogle af dem er afhængige af næsten 100% af deres månedlige volumen/gebyrer fra Den Demokratiske Folkerepublik Korea (DPRK).
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
