Как стало известно бирже в четверг, хакер, поддерживаемый Северной Кореей, пытался устроиться на работу в Kraken, чтобы получить доступ к системам компании.
Кандидат выдал себя за инженера и был пойман в середине собеседования после того, как Kraken провели полное расследование личности и цифровых следов этого человека dent Компания заявила, что процесс найма превратился в разведывательную операцию, как только начали проявляться тревожные сигналы.
По данным Kraken, попытка подать заявку на работу произошла в рамках стандартного процесса подбора персонала. Однако ситуация обострилась, когда кандидат во время первого звонка назвал имя, отличное от указанного в резюме, а затем быстро исправил его. Голос собеседника также несколько раз менялся во время интервью, что заставило рекрутеров предположить, что его инструктировал кто-то другой в режиме реального времени.
Kraken использует данные об утечках и tracэлектронной почты для раскрытия деятельности компании
Заявитель предоставил электронное письмо, совпадающее с тем, которое ранее было отмечено контактами в криптоиндустрии, предупреждавшими об активной активности северокорейских хакерских групп в поиске сотрудников в компаниях этого сектора. После подтверждения совпадения внутренняя группа Red Team компании Kraken начала более глубокое расследование с использованием методов OSINT для анализа записей о взломах и данных, связанных с учетной записью электронной почты.
В ходе этого поиска была обнаружена более широкая сеть поддельныхdent. Человек, стоявший за заявкой, создал несколько псевдонимов, некоторые из которых уже использовались в других компаниях. Команда обнаружила рабочие электронные письма, связанные с этими поддельными именами.
Одно из резюме принадлежало человеку, включенному в международный санкционный список как известный иностранный агент. Поддельное резюме было связано с учетной записью GitHub, к которой был подключен взломанный электронный адрес, а указанный идентификатор выглядел измененным. Кандидат использовал удаленно расположенные компьютеры Mac и направлял весь трафик через VPN — схема, предназначенная для сокрытия его реального местоположения.
Кракен заявил, что удостоверение личности, вероятно, было получено в результате двухлетнейdentдела о краже личных данных. На тот момент у группы безопасности было достаточно доказательств, чтобы считать заявителя участником кампании по внедрению на уровне штата, а не мошенником-одиночкой.
Kraken проводит полномасштабную операцию под прикрытием, включая процесс допроса
Вместо того чтобы прерывать связь, команды Kraken по подбору персонала и обеспечению безопасности продолжили процесс. Кандидат прошел несколько этапов отбора, включая оценку навыков в области информационной безопасности и проверкуdent.
В заключительном этапе собеседования принял участие главный специалист по безопасности компании Kraken Ник Перкоко, который встретился с кандидатом вместе с группой других сотрудников для того, что компания назвала «собеседованием на совместимость»
Во время этого звонка Ник и его команда вставили в разговор проверочные вопросы. Они попросили заявителя подтвердить свое местоположение, предъявить удостоверение личности государственного образца и назвать местные рестораны в городе, где он, по его словам, проживает. Заявитель не справился.
Они колебались, давали невнятные ответы и не отвечали на элементарные вопросы о своем предполагаемом родном городе. Выступление провалилось под давлением, показав, что заявитель не имел реальных знаний о заявленном месте жительства или об используемойdent.
В конце собеседования Кракен заявил, что стало ясно: это был не настоящий кандидат. Это был самозванец, финансируемый из-dent, который использовал фальшивую личность, чтобы попытаться получить доступ к инсайдерской информации в криптокомпании.
Ник подтвердилdent в публичном заявлении, сказав: «Не доверяйте, проверяйте. Этот основополагающий принцип криптовалют актуален как никогда в цифровую эпоху. Государственные атаки — это не просто проблема криптовалют или американских корпораций, это глобальная угроза. Любой человек или компания, работающие с ценными бумагами, становятся мишенью, и устойчивость начинается с оперативной подготовки к противостоянию подобным атакам»
Kraken заявила, что публикует полные подробности дела, чтобы предупредить другие криптокомпании о том, что традиционные каналы найма персонала теперь используются иностранными правительствами в качестве инструментов проникновения. Биржа также отметила, что связанные с Северной Кореей хакеры украли у криптокомпаний более 650 миллионов долларов в 2024 году, а схемы с использованием заявок на работу становятся новым трендом.
