Wie die Börse am Donnerstag enthüllte, versuchte ein von Nordkorea unterstützter Hacker, bei Kraken eine Anstellung zu bekommen, um Zugang zu den Systemen des Unternehmens zu erhalten.
Der Bewerber gab sich als Ingenieur aus und wurde mitten im Vorstellungsgespräch entlarvt, nachdem von Kraken seine dent und seine digitalen Spuren eingehend überprüft hatten. Das Unternehmen erklärte, der Einstellungsprozess habe sich zu einer Geheimdienstoperation entwickelt, sobald erste Warnsignale auftraten.
Laut Kraken erfolgte der Bewerbungsversuch im Rahmen eines regulären Einstellungsverfahrens. Die Situation eskalierte jedoch, als der Kandidat beim ersten Anruf einen anderen Namen als den im Lebenslauf angab und diesen dann umgehend korrigierte. Zudem veränderte sich die Stimme des Kandidaten während des Gesprächs mehrfach, was die Personalverantwortlichen zu der Annahme veranlasste, dass er möglicherweise von einer anderen Person live gecoacht wurde.
Kraken nutzt Datenlecks und E-Mail- trac, um die Operation aufzudecken
Der Antragsteller hatte eine E-Mail eingereicht, die mit einer zuvor von Kontakten aus der Kryptoindustrie gemeldeten E-Mail übereinstimmte. Diese hatten davor gewarnt, dass nordkoreanische Hacker-Einheiten aktiv Bewerbungen bei Unternehmen der Branche einreichen. Nach Bestätigung der Übereinstimmung leitete das interne Red Team von Kraken eine eingehendere Untersuchung ein und nutzte OSINT-Techniken, um die Aufzeichnungen von Sicherheitsvorfällen und die mit dem E-Mail-Konto verknüpften Daten zu analysieren.
Die Recherche deckte ein größeres Netzwerk gefälschterdentauf. Die Person hinter der Bewerbung hatte mehrere Pseudonyme erstellt, von denen einige bereits bei anderen Unternehmen angestellt waren. Das Team fand dienstliche E-Mails, die mit diesen falschen Namen verknüpft waren.
Einer der gefälschten Lebensläufe gehörte einer Person, die als ausländischer Agent auf einer internationalen Sanktionsliste stand. Der gefälschte Lebenslauf war mit einem GitHub-Konto verknüpft, dessen E-Mail-Adresse gehackt worden war, und die angegebene ID schien manipuliert worden zu sein. Der Kandidat nutzte entfernte Mac-Computer in einem Rechenzentrum und leitete seinen gesamten Datenverkehr über ein VPN – eine Einrichtung, die seinen tatsächlichen Standort verschleiern sollte.
Kraken erklärte, der Ausweis stamme wahrscheinlich aus einem zwei Jahre alten FalldentIdentitätsdiebstahl. Zu diesem Zeitpunkt verfügte das Sicherheitsteam über genügend Beweise, um den Antragsteller als Teil einer landesweiten Infiltrationskampagne und nicht als Einzeltäter zu betrachten.
Kraken führt eine vollständige Undercover-Operation durch, die den Interviewprozess umfasst
Statt die Kommunikation abzubrechen, trieben die Rekrutierungs- und Sicherheitsteams von Kraken den Prozess voran. Der Bewerber durchlief verschiedene Runden, darunter Beurteilungen seiner IT-Sicherheitskenntnisse unddent.
Das abschließende Vorstellungsgespräch führte Nick Percoco, Chief Security Officer von Kraken, den Kandidaten zusammen mit einer Gruppe anderer Mitarbeiter zu einem Gespräch, das das Unternehmen als „Chemie-Interview“ bezeichnete
Während des Telefonats bauten Nick und sein Team Verifizierungsfragen in das Gespräch ein. Sie baten den Antragsteller, seinen Standort zu bestätigen, einen amtlichen Ausweis vorzuzeigen und Restaurants in der Stadt zu nennen, in der er angeblich wohnte. Der Antragsteller konnte nicht mithalten.
Sie zögerten, gaben unklare Antworten und scheiterten an grundlegenden Fragen zu ihrem angeblichen Heimatort. Die Darbietung brach unter Druck zusammen und offenbarte, dass der Antragsteller weder über wirkliche Kenntnisse des angegebenen Ortes noch über die verwendetedentverfügte.
Am Ende des Interviews erklärte Kraken, es sei klar, dass es sich nicht um einen echten Bewerber handelte. Es war ein ausländisch finanzierter Betrüger, der mit einer gefälschtendentversuchte, sich Insiderzugang zu dem Krypto-Unternehmen zu verschaffen.
Nick bestätigte dendent in einer öffentlichen Erklärung und sagte: „Vertrauen ist gut, Kontrolle ist besser. Dieses grundlegende Krypto-Prinzip ist im digitalen Zeitalter relevanter denn je. Staatlich geförderte Angriffe sind nicht nur ein Problem der Kryptowelt oder US-amerikanischer Unternehmen – sie stellen eine globale Bedrohung dar. Jede Person und jedes Unternehmen, das mit Werten arbeitet, ist ein potenzielles Ziel, und Resilienz beginnt mit der operativen Vorbereitung, um solchen Angriffen standzuhalten.“
Kraken gab bekannt, die vollständigen Details des Falls zu veröffentlichen, um andere Krypto-Unternehmen davor zu warnen, dass traditionelle Rekrutierungswege mittlerweile von ausländischen Regierungen als Infiltrationsinstrumente missbraucht werden. Die Börse wies zudem darauf hin, dass Hacker mit Verbindungen zu Nordkorea im Jahr 2024 über 650 Millionen US-Dollar von Krypto-Unternehmen erbeutet hätten und dass betrügerische Bewerbungsverfahren zu einem neuen Trend geworden seien.
