我们如何识别出试图在 Kraken 找工作的朝鲜黑客
我们如何识别出试图在 Kraken 找工作的朝鲜黑客
网络安全不仅仅是 Kraken 的优先事项,它更是我们起源故事的一部分,并已融入我们的 DNA。
分享此内容:
每天,我们专业的安全和 IT 团队都会成功抵御来自各种不良行为者的广泛攻击。根据我们多年的经验,我们知道任何大型公司的攻击向量有多么广泛。正如我们今天披露的那样,它们可能包括意想不到的领域,例如公司的招聘流程。
我们的团队最近发现一名朝鲜黑客试图通过在 Kraken 申请工作来渗透我们。
观看 CBS News 对 Kraken 如何识别(然后有策略地与)试图在 Kraken 找工作的朝鲜黑客的全面报道
最初只是一个工程岗位的常规招聘流程,但随着我们的团队谨慎地推进候选人在招聘过程中的每一步,以了解更多关于他们的策略,它很快变成了一个情报收集行动。
这对加密货币社区来说是一个既定的挑战,有估计表明,仅在 2024 年,朝鲜黑客就从加密货币公司窃取了超过 6.5 亿美元。我们今天披露这些事件,是为了持续的透明度努力,并帮助加密货币行业内外的公司加强防御。
候选人的危险信号
从一开始,我们就觉得这位候选人有些不对劲。在与我们的招聘人员进行初步通话时,他们使用了一个与简历上的名字不同的名字加入,并很快更改了它。更可疑的是,候选人偶尔会在不同的声音之间切换,这表明他们正在接受实时指导。
在这次面试之前,行业合作伙伴已经提示我们,朝鲜黑客正在积极申请加密货币公司的工作。我们收到了一份与黑客组织相关的电子邮件地址列表,其中一个与候选人用来申请 Kraken 的电子邮件相匹配。
有了这些情报,我们的 Red Team 使用开源情报收集 (OSINT) 方法展开了调查。一种方法是分析泄露的数据,黑客经常使用这些数据来识别具有弱密码或重复使用密码的用户。在这种情况下,我们发现与恶意候选人相关的电子邮件是更大的虚假身份和别名网络的一部分。
这意味着我们的团队发现了一个黑客行动,其中一个人建立了多个身份来申请加密货币领域内外的职位。我们的团队发现与他们相关的工作电子邮件地址表明,其中几个名字之前已被多家公司聘用。该网络中的一个身份也是制裁名单上的已知外国特工。
随着我们的团队深入挖掘候选人的历史和资历,技术上的不一致之处浮出水面
- 候选人使用了远程同地协作的 Mac 桌面,但通过 VPN 与其他组件交互,这是一种通常用于隐藏位置和网络活动的设置。
- 他们的简历链接到一个 GitHub 个人资料,其中包含过去数据泄露中暴露的电子邮件地址。
- 候选人的主要身份证明形式似乎被篡改过,可能是使用了两年前身份盗窃案中窃取的详细信息。
到这时,证据已经很明确,我们的团队确信这不仅仅是一个可疑的求职者,而是一次国家支持的渗透尝试。
扭转局面——我们的团队如何回应
我们的安全和招聘团队并没有向申请人发出警告,而是有策略地推进他们在我们严格的招聘流程中——不是为了招聘,而是为了研究他们的方法。这意味着让他们通过多轮技术信息安全测试和验证任务,旨在提取有关其身份和策略的关键细节。
最后一轮面试?与 Kraken 的首席安全官 (CSO) Nick Percoco 和其他几位团队成员进行的随意化学反应面试。候选人没有意识到的是,这是一个陷阱——一个微妙但故意的身份测试。
在标准的面试问题之间,我们的团队插入了双因素身份验证提示,例如要求候选人验证他们的位置,出示政府颁发的身份证件,甚至推荐他们声称居住的城市中的一些当地餐馆。
在这一点上,候选人崩溃了。他们措手不及,在基本的验证测试中挣扎,并且无法令人信服地回答有关其居住城市或国籍的实时问题。到面试结束时,真相大白:这不是一个合法的申请人,而是一个试图渗透我们系统的冒名顶替者。
CSO Nick Percoco 在评论这些事件时说:
“不要信任,要验证。这个核心的加密货币原则在数字时代比以往任何时候都更加重要。国家支持的攻击不仅仅是加密货币问题,也不是美国公司的问题,它们是一种全球威胁。任何处理价值的个人或企业都是目标,而弹性始于在运营上准备好承受这些类型的攻击。”
主要收获
-
并非所有攻击者都会闯入,有些会试图从前门走进来。随着网络威胁的演变,我们的安全策略也必须随之演变。整体、主动的方法对于保护组织至关重要。
-
生成式 AI 正在使欺骗变得更容易,但并非万无一失。攻击者可以欺骗招聘流程的部分内容,例如技术评估,但真正的候选人通常会通过实时、未经提示的验证测试。尽量避免招聘经理使用的验证问题类型出现模式。
-
富有成效的偏执文化是关键。安全不仅仅是 IT 的责任。在现代,这是一种组织心态。通过积极参与这个人,我们确定了加强我们防御以应对未来渗透尝试的领域。
下次收到可疑的求职申请时,请记住:有时,最大的威胁会伪装成机会。