Kraken, czołowa giełda kryptowalut, odkryła zaawansowaną próbę infiltracji przez północnokoreańskiego hakera podszywającego się pod kandydata do pracy.
Zespoły ds. bezpieczeństwa i rekrutacji przesunęły kandydata w procesie zatrudnienia. Celem było zbadanie ich strategii i zebranie kluczowych informacji.
Jak północnokoreański haker próbował infiltrować Kraken
Kraken opisał incydent w niedawnym wpisie na blogu, 1 maja. Haker aplikował na stanowisko inżyniera w giełdzie, początkowo wydając się być legalnym kandydatem, rzekomo o imieniu Steven Smith. Jednak podczas procesu rekrutacji pojawiło się kilka czerwonych flag.
„To, co zaczęło się jako rutynowy proces rekrutacji na stanowisko inżyniera, szybko przekształciło się w operację zbierania informacji, gdy nasze zespoły starannie przesuwały kandydata w procesie rekrutacji, aby dowiedzieć się więcej o ich taktykach na każdym etapie procesu.”
Kandydat używał innego imienia podczas rozmowy kwalifikacyjnej i ciągle zmieniał głosy, co sugerowało coaching. Aplikował, używając e-maila powiązanego z północnokoreańskimi hakerami.
Ponadto, śledztwo Open-Source Intelligence (OSINT) ujawniło zaangażowanie kandydata w sieć fałszywych tożsamości.
„Oznaczało to, że nasz zespół odkrył operację hakerską, w której jedna osoba stworzyła wiele tożsamości, aby aplikować na stanowiska w przestrzeni kryptowalutowej i poza nią. Kilka z tych imion zostało wcześniej zatrudnionych przez wiele firm, ponieważ nasz zespół zidentyfikował powiązane z nimi adresy e-mail związane z pracą. Jedna tożsamość w tej sieci była również znanym zagranicznym agentem na liście sankcji.”
Dodatkowo, techniczne niespójności w ich konfiguracji, takie jak używanie zdalnych, współdzielonych komputerów Mac, do których uzyskiwano dostęp przez VPN i zmienione identyfikatory, wskazywały na próbę infiltracji. Te informacje potwierdziły, że kandydat prawdopodobnie był hakerem sponsorowanym przez państwo.
Podczas ostatniej rozmowy z kandydatem, Nick Percoco, dyrektor ds. bezpieczeństwa w Kraken, oraz kilku członków zespołu potwierdzili podejrzenia firmy. Niepowodzenie kandydata w weryfikacji swojej lokalizacji lub odpowiedzi na pytania dotyczące miasta i obywatelstwa ujawniło go jako oszusta.
„Ich zadaniem jest rozpoczęcie pracy, aby kraść własność intelektualną, kraść pieniądze od tych firm, otrzymywać wypłatę i robić to na szeroką skalę.”
Fincen proponuje zakaz dla Huione Group z powodu powiązań z Koreą Północną
Tymczasem, w innym rozwoju wydarzeń, amerykańska sieć ds. egzekwowania przestępstw finansowych (FinCEN) zaproponowała zakazy grupie Huione z siedzibą w Kambodży z amerykańskiego systemu finansowego. Departament zidentyfikował Huione jako kluczowego pośrednika dla północnokoreańskich grup hakerskich, w tym tych zaangażowanych w cybernapady i oszustwa kryptowalutowe “pig butchering”.
„Grupa Huione ustanowiła się jako rynek z wyboru dla złośliwych cyberprzestępców, takich jak KRLD i syndykaty przestępcze, które ukradły miliardy USD od zwykłych Amerykanów.”
FinCEN oskarżył grupę o pranie ponad 4 mld USD nielegalnych funduszy między sierpniem 2021 a styczniem 2025. Według departamentu, sieć Huione, w tym Huione Pay, Huione Crypto i Haowang Guarantee, jest preferowanym rynkiem dla przestępców kryptowalutowych, oferującym usługi takie jak przetwarzanie płatności i nielegalny rynek online.
„Dzisiejsza proponowana akcja odetnie dostęp grupy Huione do bankowości korespondencyjnej, osłabiając zdolność tych grup do prania swoich nielegalnych zysków. Skarb Państwa pozostaje zaangażowany w zakłócanie wszelkich prób złośliwych cyberprzestępców w zabezpieczaniu dochodów z lub dla ich przestępczych planów.”
Te incydenty podkreśliły wzorzec północnokoreańskich cyberataków na sektor kryptowalutowy. W 2024 roku hakerzy ukradli ponad 659 mln USD od firm kryptowalutowych.
Według wspólnego oświadczenia Stanów Zjednoczonych, Japonii i Republiki Korei, północnokoreańscy hakerzy celowali w branżę, używając taktyk takich jak inżynieria społeczna i złośliwe oprogramowanie (np. TraderTraitor, AppleJeus). Dodatkowo, północnokoreańscy pracownicy IT zostali zidentyfikowani jako zagrożenia wewnętrzne dla firm sektora prywatnego.
Wcześniej, raporty BeInCrypto podkreślały notoryczne zaangażowanie grupy Lazarus, północnokoreańskiej grupy hakerskiej sponsorowanej przez państwo w kradzieże Bybit i Upbit. Ponadto, grupy hakerskie z tego kraju były również odpowiedzialne za atak na Radiant Capital i wykorzystanie DMM Bitcoin.
W rzeczywistości, niedawno, badacz on-chain ZachXBT odkrył znaczące zaangażowanie Korei Północnej w protokoły zdecentralizowanych finansów (DeFi), z niektórymi z nich polegającymi na prawie 100% ich miesięcznego wolumenu/opłat od Koreańskiej Republiki Ludowo-Demokratycznej (KRLD).
Aby zapoznać się z najnowszą analizą rynku kryptowalut od BeInCrypto, kliknij tutaj.
eToro
eToro
eToro
eToro
YouHodler
Wirex
dYdX
NEXO
Wyjaśnienie
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na jego własne ryzyko.
