A Krakennél járt egy észak-koreai hacker állásinterjún [VIDEÓ]
Az amerikai kriptotőzsde, a Kraken részletesen beszámolt arról, hogyan próbált meg egy észak-koreai hekkercsoport tagja beépülni a céghez egy mérnöki pozícióra jelentkezve. A kísérletet végül egy iparági figyelmeztetés buktatta le.
„Ami egy rutinszerű állásinterjúként indult, gyorsan egyfajta hírszerzési műveletté vált” – írta a Kraken egy blogbejegyzésében.
A jelentkező gyanús jeleket mutatott már a folyamat korai szakaszában: más néven jelentkezett, mint amellyel az interjúra bejelentkezett, és időnként még a hangját is váltogatta – feltehetően valaki súgott neki a háttérből. Ahelyett, hogy azonnal elutasították volna, a Kraken úgy döntött, tovább engedi a pályázót a felvételi folyamatban, hogy minél több információt gyűjtsenek a használt módszerekről.
Észak-Koreát a nemzetközi szankciók szinte teljesen elszigetelték a világtól, a Kim család diktatúrája pedig régóta próbál kriptós eszközökkel pénzt szerezni az állami kassza feltöltésére – csak az idei évben több milliárd dollár értékű digitális vagyont tulajdonítottak el.
A Kraken elmondása szerint iparági partnerektől kaptak előzetes figyelmeztetést: észak-koreai hekkerek rendszeresen próbálnak állást szerezni különböző kriptocégeknél. Egy listát is kaptak az ilyen támadókkal kapcsolatba hozható e-mail címekről – az egyik pontosan megegyezett a jelentkező által használt címmel.
Ez alapján a Kraken biztonsági csapata feltárta, hogy a hekker egy egész hamis identitáshálózatot működtet, és több cégnél is megpróbált álláshoz jutni.
A hekker hiába trüközött a személyi iratokkal és technikákkal
A Kraken további technikai ellentmondásokat is észlelt a jelentkezőnél. A gyanús jelek közé tartozott például, hogy távoli elérésű Mac számítógépeket használt VPN-en keresztül, illetve manipulált személyi iratokat küldött be.
Az önéletrajzához csatolt GitHub-profilon egy olyan e-mail-cím szerepelt, amely egy korábbi adatlopás során már kiszivárgott. A pályázó által használt hivatalos igazolványról pedig kiderült, hogy valószínűleg meghamisították – az adatok vélhetően egy két évvel ezelőtti személyazonosság-lopási esetből származnak.
A végső interjúk során Nick Percoco, a Kraken biztonsági vezetője szándékosan csapdákat rejtett el a személyazonosság-ellenőrzési folyamatba – a pályázó megbukott a próbán, így a csalás egyértelművé vált.
„Ne bízz vakon – ellenőrizz. Ez az alapelv ma fontosabb, mint valaha” – mondta Percoco, hozzátéve: „Az államilag támogatott kibertámadások nemcsak az amerikai vállalatokat vagy a kriptoszektort fenyegetik – ezek globális veszélyt jelentenek.”
A Lazarus csoport nyomában: milliárdos kriptós fosztogatás
A Kraken esete azt is jól mutatja, hogy a nagyobb kriptotőzsdék ma már nemcsak pénzügyi, hanem hírszerzési szinten is kénytelenek működni. A globális fenyegetések közepette az ilyen cégeknek folyamatosan fel kell készülniük a kifinomult támadások elhárítására – ezúttal pedig sikeresen tették is.
Most például az derült ki, hogy a háttérben az észak-koreai Lazarus csoport állhat, amely 2024 februárjában végrehajtotta minden idők legnagyobb kriptós hackertámadását: a Bybit tőzsdétől 1,4 milliárd dollárt tulajdonítottak el.
A Lazarushoz köthető hekkerek az idei évben több mint 650 millió dollárt zsákmányoltak más kriptós rablások során is. A támadások részeként IT-szakembereket próbálnak bejuttatni blokklánc-cégekhez, hogy belső fenyegetésként működjenek.
2024 áprilisában egy amerikai jelentés szerint a Lazarus egyik alcsapata három fedőcéget is alapított – kettőt az Egyesült Államokban –, amelyek célja az volt, hogy kártékony szoftvereket juttassanak el gyanútlan felhasználókhoz, és kriptós fejlesztőket verjenek át.
Az eset figyelmeztető jel lehet minden kriptovállalat számára: az információs hadviselés új szintre lépett, és a hekkerek már nemcsak rendszereket, hanem állásinterjúkat is célba vesznek.