Wie wir einen nordkoreanischen Hacker identifiziert haben, der versuchte, einen Job bei Kraken zu bekommen

Inhaltsverzeichnis

Täglich gelingt es unseren engagierten Sicherheits- und IT-Teams, eine Vielzahl von Angriffen durch unterschiedliche Akteure abzuwehren. Aus unserer langjährigen Erfahrung wissen wir, wie umfangreich die Angriffsvektoren größerer Unternehmen sind. Wie wir heute offenlegen, können sie auch unerwartete Bereiche wie das Einstellungsverfahren eines Unternehmens umfassen.

Unsere Teams haben kürzlich versucht, einen nordkoreanischen Hacker zu enttarnen, der sich bei Kraken für eine Stelle bewarb.

Sehen Sie die vollständige Berichterstattung von CBS News darüber, wie Kraken einen nordkoreanischen Hacker identifizierte und strategisch mit ihm interagierte, der versuchte, bei Kraken eine Stelle zu ergattern.

Was als routinemäßiges Einstellungsverfahren für eine Ingenieursstelle begann, verwandelte sich schnell in eine Informationsbeschaffungsmaßnahme, da unsere Teams den Kandidaten sorgfältig durch den Einstellungsprozess führten, um mehr über seine Taktiken zu erfahren.

Dies ist eine bewährte Herausforderung für die Kryptogemeinschaft, wobei Schätzungen darauf hinweisen, dass nordkoreanische Hacker allein 2024 über 650 Millionen Dollar von Krypto-Unternehmen gestohlen haben. Wir legen diese Ereignisse heute als Teil unserer Transparenzbemühungen offen und um Unternehmen im Krypto-Bereich und darüber hinaus zu helfen, ihre Verteidigung zu stärken.

Die roten Flaggen des Kandidaten

Von Anfang an fühlte sich dieser Kandidat seltsam an. Während des ersten Gesprächs mit unserem Recruiter trat er unter einem anderen Namen auf, als auf seinem Lebenslauf angegeben, und änderte ihn schnell. Noch verdächtiger war, dass der Kandidat gelegentlich zwischen Stimmen wechselte, was darauf hindeutete, dass er in Echtzeit während des Interviews gecoacht wurde.

Vor diesem Interview hatten uns Branchenpartner darauf hingewiesen, dass nordkoreanische Hacker aktiv Stellen in Kryptounternehmen anstreben. Wir erhielten eine Liste von E-Mail-Adressen, die mit der Hackergruppe in Verbindung stehen, und eine davon stimmte mit der E-Mail überein, die der Kandidat für die Bewerbung bei Kraken verwendet hatte.

Mit diesen Informationen startete unser Red Team eine Untersuchung unter Verwendung von Open-Source-Intelligence-Methoden (OSINT). Eine Methode bestand darin, Datenlecks zu analysieren, die Hacker häufig nutzen, um Benutzer mit schwachen oder wiederverwendeten Passwörtern zu identifizieren. In diesem Fall entdeckten wir, dass eine der E-Mails, die mit dem bösartigen Kandidaten in Verbindung stehen, Teil eines größeren Netzwerks aus falschen Identitäten und Alias-Namen war.

Das bedeutete, dass unser Team eine Hackeroperation aufgedeckt hatte, bei der eine Person mehrere Identitäten geschaffen hatte, um sich um Stellen im Krypto-Bereich und darüber hinaus zu bewerben. Mehrere der Namen waren zuvor von verschiedenen Unternehmen eingestellt worden, wie unsere Untersuchungen ergaben. Eine der Identitäten in diesem Netzwerk war ebenfalls als bekannte ausländische Person auf der Sanktionsliste eingetragen.

Bei der weiteren Überprüfung der Geschichte und Qualifikationen des Kandidaten traten technische Inkonsistenzen auf

Der Kandidat nutzte entfernte Mac-Desktops, griff jedoch über ein VPN auf andere Komponenten zu – eine häufig eingesetzte Methode, um Standort und Netzwerkaktivitäten zu verbergen.
Sein Lebenslauf war mit einem GitHub-Profil verknüpft, das eine E-Mail-Adresse enthielt, die in einem vergangenen Datenleck aufgedeckt wurde.
Das Hauptidentitätsdokument des Kandidaten schien verändert worden zu sein, vermutlich unter Verwendung gestohlener Daten aus einem Identitätsdiebstahlfall vor zwei Jahren.

Zu diesem Zeitpunkt war die Beweislage eindeutig, und unser Team war sich sicher, dass es sich nicht nur um einen verdächtigen Bewerber handelte, sondern um einen staatlich unterstützten Infiltrationsversuch.

Den Spieß umdrehen – wie unser Team reagierte

Anstatt den Bewerber zu alarmieren, führten unsere Sicherheits- und Rekrutierungsteams ihn strategisch durch unseren strengen Einstellungsprozess – nicht um ihn einzustellen, sondern um seine Vorgehensweise zu studieren. Das bedeutete, ihn durch mehrere Runden technischer Infosec-Tests und Verifizierungsaufgaben zu führen, um wichtige Details über seine Identität und Taktiken zu extrahieren.

Das abschließende Interview? Ein lockeres Gespräch mit dem Chief Security Officer (CSO) von Kraken, Nick Percoco, und mehreren anderen Teammitgliedern. Was der Kandidat nicht wusste, war, dass es sich dabei um eine Falle handelte – ein subtiler, aber gezielter Test seiner Identität.

Zwischen den Standardfragen im Interview baute unser Team Zwei-Faktor-Authentifizierungsfragen ein, wie die Aufforderung an den Kandidaten, seinen Standort zu verifizieren, einen amtlichen Ausweis vorzuzeigen und sogar lokale Restaurants in der Stadt zu empfehlen, in der er sich angeblich befand.

Zu diesem Zeitpunkt zog sich der Kandidat zurück. Verwirrt und überrascht scheiterte er an den grundlegenden Verifizierungstests und konnte keine überzeugenden Antworten auf Echtzeitfragen zu seinem Wohnort oder seiner Staatsbürgerschaft geben. Am Ende des Interviews war die Wahrheit offensichtlich: Es handelte sich nicht um einen legitimen Bewerber, sondern um einen Betrüger, der versuchte, unsere Systeme zu infiltrieren.

Zu den Ereignissen äußerte sich CSO Nick Percoco:

„Misstrauen, Überprüfen – dieses Kernprinzip der Kryptowelt ist im digitalen Zeitalter relevanter denn je. Staatlich geförderte Angriffe sind nicht nur ein Problem für Kryptowährungen oder US-Unternehmen – sie sind eine globale Bedrohung. Jeder Einzelne oder jedes Unternehmen, das Werte verwaltet, ist ein Ziel, und Resilienz beginnt mit der operationalen Vorbereitung, diesen Angriffsarten standzuhalten.“

Wichtige Erkenntnisse

Nicht alle Angreifer brechen ein, einige versuchen durch die Vordertür zu gehen. Mit der Entwicklung der cyberkriminellen Bedrohungen müssen sich auch unsere Sicherheitsstrategien weiterentwickeln. Ein ganzheitlicher, proaktiver Ansatz ist entscheidend, um eine Organisation zu schützen.

Generative KI erleichtert Täuschungen, ist jedoch nicht unfehlbar. Angreifer können Teile des Einstellungsverfahrens, wie eine technische Bewertung, täuschen, aber echte Bewerber bestehen in der Regel realistische, nicht abgestimmte Verifizierungstests. Vermeiden Sie Muster in den Verifizierungstests, die Personalverantwortliche verwenden.

Eine Kultur der produktiven Paranoia ist entscheidend. Sicherheit ist nicht nur eine IT-Verantwortung. Im modernen Zeitalter ist es eine organisatorische Denkweise. Durch die aktive Einbeziehung dieses Individuums haben wir Bereiche identifiziert, um unsere Verteidigungen gegen zukünftige Infiltrationsversuche zu stärken.

Das nächste Mal, wenn eine verdächtige Bewerbung eingeht, denken Sie daran: Manchmal kommen die größten Bedrohungen vermummt als Chancen.

Quelle: Kraken Blog

Die roten Flaggen des Kandidaten

Bei der weiteren Überprüfung der Geschichte und Qualifikationen des Kandidaten traten technische Inkonsistenzen auf

Den Spieß umdrehen – wie unser Team reagierte

Wichtige Erkenntnisse

Kryptobörsen

Neueste Beiträge

Wie wir einen nordkoreanischen Hacker identifiziert haben, der versuchte, einen Job bei Kraken zu bekommen

Die roten Flaggen des Kandidaten

Bei der weiteren Überprüfung der Geschichte und Qualifikationen des Kandidaten traten technische Inkonsistenzen auf

Den Spieß umdrehen – wie unser Team reagierte

Wichtige Erkenntnisse

zusammenhängende Posts

KI kann das „größte technische Risiko“ von Ethereum lösen: sagt Vitalik Buterin

Feiern Sie den Bitcoin Pizza Day mit HTX Square: Gewinnen Sie Preise, indem Sie Ihre Geschichten mit HTX teilen

Einführung des Rechtsklick-Handels: Platzieren Sie Limit- und Stop-Orders direkt von Preisdiagrammen.

HTX bahnt den Weg für die Ära negativer Gebührensätze beim BTC-Handel: Tägliche Belohnungen von 100.000 USDT

Kryptobörsen

Neueste Beiträge