クラーケン、「戦術を学ぶため」に技術職を志願した北朝鮮ハッカーを罠にかける

北朝鮮のハッカーが暗号会社に就職しようとして捕まった理由

クラーケンにとっては、単なる求人応募ではなかった。

米国を拠点とする暗号取引所がエンジニア職の採用プロセスを開始したとき、何かがおかしいと感じた。

スクワット明らかに 業界関係者から次のような情報を得たという。北朝鮮のハッカー は、求職者を装って暗号企業を積極的にターゲットにしていた。

そのため、ある不審な履歴書が彼らの机の上に置かれたとき、チームはそれを真っ向から拒否しないことに決めた。

その代わりに、攻撃者の手口に関する情報を収集する機会を利用して、そのプロセスを放置した。

面接の過程でハッカーを手放したもの

最初のインタビューから、矛盾点が浮かび上がってきた。

候補者がビデオ通話中に、応募書類に記載された名前と異なる名前を使用した。

会話の途中で声が変わったと報じられ、疑惑はさらに深まった。

面接が最終選考に進むにつれ、クラーケンの採用チームとセキュリティチームは巧妙な罠を仕掛けた。

一連のライブテストは、リアルタイムの位置確認や、住んでいると主張する都市の地元レストランを推薦する要求など、申請者の主張するアイデンティティに挑戦するように設計された。

スクワット 候補者が目に見えて震え上がった様子を描写している、

"この時点で、候補者は解き放たれた。慌てて油断した彼らは、基本的な確認テストに苦戦し、居住地や国籍国に関するリアルタイムの質問にも説得力を持って答えることができなかった"

最終面接で予想外の推薦料理の質問に慌てた北朝鮮候補のスティーブン・スミスは、気まずそうに「特別なものはありません」と答えた；

偽IDと偽名の網

Krakenの調査員は、このアプリケーションで使用された電子メールアドレスが、より広範な偽IDのネットワークと結びついていることを突き止めた。

申請者のIDをフォレンジック分析したところ、改ざんされた形跡があり、ID窃盗の被害者から盗まれた個人情報が組み込まれている可能性があった。

クラーケンによれば、このハッカーは単独犯ではない。

同社はこう述べている、

「1人の人物が複数のIDを持ち、暗号空間やそれ以外の職務に応募していた。そのうちの何人かは以前、複数の企業に採用されていた。

さらに、国際的な制裁措置ですでに外国人工作員としてリストアップされている人物の別名もあった。

国家に支援された脅威は進化し、玄関から侵入している

クラーケンの最高セキュリティ責任者であるニック・パーココは、この手口は「世界的な脅威」になりつつあると警告した。

その中で公式声明 クラーケンは、今日のサイバー脅威は必ずしも侵害の試みから始まるとは限らないと警告した。

クラーケンが説明したとおりだ、

"すべての攻撃者が押し入るわけではなく、玄関から入ろうとする者もいる"

クラーケンは、AIは脅威行為者がより説得力のあるIDを作成するのに役立っているが、人間主導の検証プロセスは依然として機能していると指摘した。

位置情報に基づくリクエストやライブ通話中の顔IDチェックのような単純な人間同士のやり取りでも、真実を明らかにすることができ、予測可能な検証パターンを避けるのに役立つ。

暗号企業は北朝鮮のサイバーキャンペーンから継続的なリスクに直面している

今回の事件は、暗号関連のサイバー犯罪に北朝鮮が関与していることへの懸念の高まりに拍車をかけるものだ。

グーグルのスレット・インテリジェンス・グループの調査によると、以下のことが判明した。北朝鮮のIT労働者が欧米の企業に積極的に求職中 - 合法的な給与や、場合によっては雇用主を脅迫することによって、政権に収入をもたらす。

TechCrunchは以前、国家が支援する北朝鮮のグループが、2024年だけで6億5000万ドル以上の暗号窃盗を行ったと報じた。

2月、アーカム・インテリジェンスはラザロ・グループ、Bybitの大規模ハッキングに対抗 を見た。15億ドル以上が盗まれる - これまでで最大の暗号強盗となった。

クラーケンのアプローチは、ファイアウォールではなく、雇用プロセスを罠に変えることで、新たな情報漏洩を防いだのかもしれない。