Un hacker sostenuto dalla Corea del Nord ha tentato di ottenere un lavoro presso Kraken per accedere ai sistemi dell'azienda, ha rivelato giovedì la borsa.
Il candidato si è spacciato per un ingegnere ed è stato colto in flagrante durante il colloquio dopo che di Kraken hanno condotto un'indagine completa sulla sua identità dent sulle sue tracce digitali. L'azienda ha affermato che il processo di assunzione è diventato un'operazione di intelligence nel momento in cui sono iniziati a comparire i primi segnali d'allarme.
Secondo Kraken, il tentativo di candidatura è avvenuto durante un normale processo di selezione. Tuttavia, la situazione si è aggravata quando il candidato ha fornito un nome diverso da quello presente sul curriculum durante la prima chiamata, per poi correggerlo rapidamente. Anche la voce del candidato è cambiata più volte durante il colloquio, inducendo i selezionatori a credere che qualcun altro potesse avergli fatto da coach dal vivo.
Kraken utilizza i dati delle violazioni e tracdelle e-mail per esporre l'operazione
Il richiedente aveva inviato un'e-mail che corrispondeva a una precedentemente segnalata da contatti del settore delle criptovalute, i quali avevano segnalato che le unità di hacker nordcoreane stavano attivamente presentando richieste di assunzione ad aziende del settore. Dopo aver confermato la corrispondenza, il Red Team interno di Kraken ha avviato un'indagine più approfondita utilizzando tecniche OSINT per analizzare i registri delle violazioni e i dati associati all'account e-mail.
La ricerca ha portato alla luce una rete più ampia didentfalse. L'individuo dietro l'applicazione aveva creato diversi alias, alcuni dei quali erano già stati assunti da altre aziende. Il team ha trovato email di lavoro collegate a questi nomi falsi.
Uno di questi apparteneva a qualcuno presente in una lista di sanzioni internazionali come noto agente straniero. Il falso curriculum era collegato a un account GitHub con un indirizzo email violato e l'ID inviato appariva alterato. Il candidato utilizzava desktop Mac remoti e instradava tutto il traffico attraverso una VPN, una configurazione progettata per nascondere la sua vera posizione.
Kraken ha affermato che il documento d'identità probabilmente proveniva da un caso di furto d'identitàdenta due anni prima. A quel punto, il team di sicurezza aveva prove sufficienti per ritenere che il richiedente facesse parte di una campagna di infiltrazione a livello statale, non un truffatore solitario.
Kraken esegue un'operazione sotto copertura completa attraverso un processo di intervista
Invece di interrompere la comunicazione, i team di reclutamento e sicurezza di Kraken hanno portato avanti il processo. Il candidato è stato sottoposto a diversi test, tra cui valutazioni delle competenze in materia di sicurezza informatica e verifichedent.
Il colloquio finale ha coinvolto il responsabile della sicurezza di Kraken, Nick Percoco, che ha incontrato il candidato insieme a un gruppo di altri membri dello staff per quello che l'azienda ha definito un "colloquio di chimica"
Durante quella chiamata, Nick e il suo team hanno inserito delle richieste di verifica nella conversazione. Hanno chiesto al candidato di confermare la propria posizione, mostrare un documento d'identità ufficiale e indicare i ristoranti locali nella città in cui dichiarava di vivere. Il candidato non è riuscito a tenere il passo.
Hanno esitato, hanno dato risposte poco chiare e hanno fallito domande basilari sulla loro presunta città natale. La performance è crollata sotto pressione, rivelando che il candidato non aveva alcuna reale conoscenza del luogo che dichiarava di avere odentche stava usando.
Alla fine del colloquio, Kraken ha affermato che era chiaro che non si trattava di un vero candidato. Si trattava di un impostore finanziato dall'estero che utilizzava una falsadentper cercare di ottenere accesso privilegiato alla società di criptovalute.
Nick ha confermato l'dent in una dichiarazione pubblica, affermando: "Non fidarti, verifica. Questo principio fondamentale della crittografia è più rilevante che mai nell'era digitale. Gli attacchi sponsorizzati dagli Stati non sono solo un problema legato alle criptovalute o alle aziende statunitensi, ma una minaccia globale. Qualsiasi individuo o azienda che gestisca valori è un bersaglio, e la resilienza inizia con la preparazione operativa per resistere a questo tipo di attacchi"
Kraken ha dichiarato di aver pubblicato tutti i dettagli del caso per avvertire altre aziende del settore crypto che i tradizionali canali di assunzione vengono ora utilizzati come strumenti di infiltrazione da parte di governi stranieri. L'exchange ha anche osservato che hacker legati alla Corea del Nord hanno rubato oltre 650 milioni di dollari alle aziende del settore crypto nel 2024, con i sistemi di candidatura per posti di lavoro che stanno diventando una nuova tendenza.
