Kraken викриває північнокорейського хакера, який видавав себе за кандидата на роботу в сміливій спробі проникнення

Kraken, відома криптобіржа, виявила складну спробу проникнення з боку північнокорейського хакера, який видавав себе за кандидата на роботу.

Команди з безпеки та рекрутингу просунули кандидата через процес найму. Метою було вивчення їхніх стратегій та отримання важливих інсайтів.

Як північнокорейський хакер намагався проникнути у Kraken

Kraken детально описала інцидент у нещодавньому блозі 1 травня. Хакер подав заявку на інженерну посаду на біржі, спочатку виглядаючи як легітимний кандидат, нібито на ім’я Стівен Сміт. Однак під час процесу найму з’явилися кілька попереджувальних сигналів.

«Те, що починалося як рутинний процес найму на інженерну посаду, швидко перетворилося на операцію зі збору розвідданих, оскільки наші команди обережно просували кандидата через процес найму, щоб дізнатися більше про їхні тактики на кожному етапі процесу», – зазначили у Kraken.

Кандидат використовував інше ім’я під час інтерв’ю і постійно змінював голоси, що свідчило про коучинг. Вони подали заявку, використовуючи електронну пошту, пов’язану з північнокорейськими хакерами.

Крім того, розслідування з використанням відкритих джерел (OSINT) виявило участь кандидата в мережі фальшивих ідентичностей.

«Це означало, що наша команда виявила хакерську операцію, де одна особа створила кілька ідентичностей для подання заявок на посади в криптоіндустрії та за її межами. Декілька імен раніше були найняті кількома компаніями, оскільки наша команда виявила робочі електронні адреси, пов’язані з ними. Одна з ідентичностей у цій мережі також була відомим іноземним агентом у списку санкцій», – йдеться у дописі блогу.

Крім того, технічні невідповідності в їхньому налаштуванні, такі як використання віддалених, розміщених Mac-десктопів, до яких здійснювався доступ через VPN, і змінені ідентифікатори, вказували на спробу проникнення. Ця інформація підтвердила, що кандидат ймовірно був хакером, спонсорованим державою.

Під час фінального інтерв’ю з кандидатом, головний офіцер безпеки Kraken, Нік Перко, та деякі члени команди підтвердили підозри компанії. Нездатність кандидата підтвердити своє місцезнаходження або відповісти на запитання про своє місто та громадянство виявила їх як самозванця.

«Їхня робота полягає в тому, щоб почати працювати, щоб вкрасти інтелектуальну власність, вкрасти гроші у цих компаній, отримати зарплату і робити це в широкому масштабі», – сказав Перко CBS про хакерів.

FinCEN пропонує заборону на Huione Group через зв’язки з Північною Кореєю

Тим часом, у іншому розвитку подій, Управління з фінансових злочинів США (FinCEN) запропонувало заборонити базовану в Камбоджі групу Huione від фінансової системи США. Департамент визначив Huione як ключового посередника для північнокорейських хакерських груп, включаючи тих, що беруть участь у кіберпограбуваннях та криптовалютних скамах “свинячого забою”.

«Група Huione зарекомендувала себе як ринок вибору для зловмисних кіберзлочинців, таких як КНДР та кримінальні синдикати, які вкрали мільярди доларів у звичайних американців», – зазначив секретар казначейства Скотт Бессент.

FinCEN звинуватило групу у відмиванні понад 4 млрд доларів незаконних коштів між серпнем 2021 року та січнем 2025 року. За даними департаменту, мережа Huione, включаючи Huione Pay, Huione Crypto та Haowang Guarantee, є переважним ринком для криптовалютних злочинців, пропонуючи такі послуги, як обробка платежів та незаконний онлайн-ринок.

«Сьогоднішня запропонована дія розірве доступ групи Huione до кореспондентського банкінгу, знижуючи здатність цих груп відмивати свої незаконно отримані кошти. Казначейство залишається відданим перешкоджанню будь-яким спробам зловмисних кіберзлочинців отримати дохід від або для своїх злочинних схем», – додав Бессент.

Ці інциденти підкреслили схему північнокорейських кібератак на криптовалютний сектор. У 2024 році хакери вкрали понад 659 млн доларів у криптокомпаній.

Згідно з спільною заявою Сполучених Штатів, Японії та Республіки Корея, північнокорейські хакери націлилися на індустрію, використовуючи такі тактики, як соціальна інженерія та шкідливе програмне забезпечення (наприклад, TraderTraitor, AppleJeus). Крім того, північнокорейські ІТ-працівники були ідентифіковані як внутрішні загрози для приватних компаній.

Раніше, звіти BeInCrypto висвітлювали участь групи Lazarus, північнокорейської державної хакерської колективу у крадіжках на Bybit та Upbit. Крім того, хакерські групи з цієї країни також стояли за зломом Radiant Capital та експлуатацією DMM Bitcoin.

Насправді, нещодавно ончейн-дослідник ZachXBT виявив значну участь Північної Кореї у протоколах децентралізованих фінансів (DeFi), деякі з яких покладаються майже на 100 % свого місячного обсягу/комісій від Корейської Народно-Демократичної Республіки (КНДР).