Kraken, merkittävä kryptovaluuttapörssi, on paljastanut hienostuneen tunkeutumisyrityksen, jossa pohjoiskorealainen hakkeri esiintyi työnhakijana.
Turvallisuus- ja rekrytointitiimit etenivät hakijan kanssa rekrytointiprosessissa. Tavoitteena oli tutkia heidän strategioitaan ja kerätä tärkeitä tietoja.
Kuinka pohjoiskorealainen hakkeri yritti tunkeutua Krakeniin
Kraken kertoi tapauksesta äskettäisessä blogikirjoituksessa 1. toukokuuta. Hakkeri haki insinöörin tehtävää pörssissä, aluksi vaikuttaen lailliselta hakijalta, väitetysti nimeltään Steven Smith. Kuitenkin useita varoitusmerkkejä ilmeni rekrytointiprosessin aikana.
“Mikä alkoi rutiininomaisena rekrytointiprosessina insinöörin tehtävään, muuttui nopeasti tiedonkeruuoperaatioksi, kun tiimimme eteni huolellisesti hakijan kanssa rekrytointiprosessissa oppiakseen lisää heidän taktiikoistaan prosessin jokaisessa vaiheessa,” Kraken totesi.
Hakija käytti eri nimeä haastattelun aikana ja vaihtoi jatkuvasti ääntään, mikä viittasi valmennukseen. He hakivat käyttäen sähköpostia, joka oli yhdistetty pohjoiskorealaisiin hakkereihin.
Lisäksi avoimen lähdekoodin tiedonkeruu (OSINT) -tutkimus paljasti hakijan osallisuuden verkostoon, jossa oli vääriä identiteettejä.
“Tämä tarkoitti, että tiimimme oli paljastanut hakkerioperaation, jossa yksi henkilö oli luonut useita identiteettejä hakeakseen tehtäviä kryptovaluutta-alalla ja sen ulkopuolella. Useita näistä nimistä oli aiemmin palkattu useisiin yrityksiin, kun tiimimme tunnisti heihin liittyviä työaiheisia sähköpostiosoitteita. Yksi tämän verkoston identiteeteistä oli myös tunnettu ulkomainen agentti pakotelistalla,” blogissa luki.
Lisäksi tekniset epäjohdonmukaisuudet heidän kokoonpanossaan, kuten etäkäytössä olevat, VPN:n kautta käytetyt Mac-työpöydät ja muutetut henkilöllisyystodistukset, viittasivat tunkeutumisyritykseen. Tämä tieto vahvisti, että hakija oli todennäköisesti valtion tukema hakkeri.
Viimeisessä haastattelussa hakijan kanssa, Krakenin turvallisuusjohtaja Nick Percoco ja muut tiimin jäsenet vahvistivat yrityksen epäilykset. Hakijan kyvyttömyys vahvistaa sijaintiaan tai vastata kysymyksiin kaupungistaan ja kansalaisuudestaan paljasti hänet huijariksi.
“Heidän työnsä on aloittaa työsuhde varastaakseen immateriaalioikeuksia, varastaakseen rahaa näiltä yrityksiltä, saadakseen palkkaa ja tehdä se laajamittaisesti,” Percoco kertoi CBS:lle hakkereista.
FinCEN ehdottaa kieltoa Huione Groupille Pohjois-Korean yhteyksien vuoksi
Samaan aikaan toisessa kehityksessä Yhdysvaltain Financial Crimes Enforcement Network (FinCEN) on ehdottanut Kambodžassa toimivan Huione Groupin kieltämistä Yhdysvaltain rahoitusjärjestelmästä. Osasto tunnisti Huionen keskeiseksi helpottajaksi pohjoiskorealaisille hakkeriryhmille, mukaan lukien ne, jotka ovat mukana kyberryöstöissä ja “pig butchering” kryptovaluuttahuijauksissa.
“Huione Group on vakiinnuttanut asemansa valintapaikkana haitallisille kybertoimijoille, kuten DPRK:lle ja rikollisjärjestöille, jotka ovat varastaneet miljardeja dollareita tavallisilta amerikkalaisilta,” valtiovarainministeriön sihteeri Scott Bessent sanoi.
FinCEN syytti ryhmää yli 4 miljardin dollarin laittomien varojen pesemisestä elokuun 2021 ja tammikuun 2025 välillä. Osaston mukaan Huionen verkosto, mukaan lukien Huione Pay, Huione Crypto ja Haowang Guarantee, on kryptovaluuttarikollisten suosima markkinapaikka, joka tarjoaa palveluita, kuten maksujen käsittelyä ja laittoman verkkokaupan.
“Tämän päivän ehdotettu toimenpide katkaisee Huione Groupin pääsyn kirjeenvaihtajapankkitoimintaan, heikentäen näiden ryhmien kykyä pestä laittomia voittojaan. Valtiovarainministeriö on sitoutunut estämään kaikki haitallisten kybertoimijoiden yritykset hankkia tuloja rikollisista suunnitelmistaan,” Bessent lisäsi.
Nämä tapaukset korostivat pohjoiskorealaisten kyberhyökkäysten kaavaa kryptovaluuttasektorilla. Vuonna 2024 hakkerit varastivat yli 659 miljoonaa dollaria kryptoyrityksiltä.
Yhdysvaltojen, Japanin ja Korean tasavallan yhteisen lausunnon mukaan pohjoiskorealaiset hakkerit kohdistivat hyökkäyksensä alaan käyttämällä taktiikoita, kuten sosiaalista manipulointia ja haittaohjelmia (esim. TraderTraitor, AppleJeus). Lisäksi pohjoiskorealaiset IT-työntekijät tunnistettiin yksityisen sektorin yritysten sisäisiksi uhkiksi.
Aiemmin BeInCrypto-raportit ovat korostaneet pahamaineisen Lazarus Groupin, pohjoiskorealaisen valtion tukeman hakkeriryhmän osallisuutta Bybit ja Upbit-varkauksiin. Lisäksi maan hakkeriryhmät olivat myös Radiant Capital -hakkeroinnin ja DMM Bitcoin -hyökkäyksen takana.
Itse asiassa, äskettäin, on-chain-tutkija ZachXBT paljasti merkittävän pohjoiskorealaisen osallisuuden hajautetun rahoituksen (DeFi) protokollissa, joista jotkut luottavat lähes 100% kuukausittaisesta volyymistaan/maksuistaan Korean demokraattisesta kansantasavallasta (DPRK).
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
