Хакер из Северной Кореи пытался устроиться в Kraken

Криптобиржа Kraken раскрыла подробности попытки кибервзлома, предпринятой хакером из Северной Кореи, который пытался попасть в компанию через стандартную процедуру найма. Команда безопасности Kraken провела скрытное расследование, чтобы собрать доказательства и проанализировать тактику потенциального атакующего.

Ситуация началась с обычного интервью на должность инженера. Однако уже на ранних этапах кандидат вызывал подозрения. Он подключился к звонку под другим именем. Оно отличалось от указанного в резюме, а во время беседы, по словам рекрутеров, он как будто получал от кого-то инструкции в реальном времени. Кроме того, один из e-mail-адресов, использованных кандидатом был помечен, как принадлежащий известной хакерской группе из КНДР (вероятно, речь идет о Lazarus).

Команда Red Team Kraken приступила к проверке кандидата, применяя методы OSINT и анализируя базы данных. Выяснилось, что за одним человеком скрывается сеть фальшивых личностей, ранее устроившихся на работу в разные криптокомпании. Некоторые из них были связаны с санкционированными агентами, а резюме содержало ложные данные, включая поддельный ID, предположительно украденный ранее в рамках другого кейса.

Технические детали также не совпадали. Кандидат использовал удаленный Mac-десктоп через VPN — типичная схема для сокрытия местоположения. Связанный с ним GitHub-профиль содержал e-mail, ранее скомпрометированный мошенниками. Совокупность этих факторов убедила команду в том, что речь идет о целенаправленной попытке взлома.

Вместо того чтобы прервать процесс, представители Kraken решили продолжить интервью, чтобы изучить методы злоумышленника. Финальным этапом стала встреча с CSO Kraken Ником Персоко, организованная как «неформальное интервью». Во время беседы команда инициировала элементы проверки личности: просьбы показать ID, подтвердить местоположение, назвать местные рестораны. Под давлением хакер не справился с базовыми вопросами, и специалисты разоблачили мошенника.

Автор

Петр Иванов