
Inżynier-widmo zaatakował giełdę. Rekrutacja zmieniła się w operację kontrwywiadowczą
Północnokoreański inżynier-widmo z Grupy Lazarus, zmieniający imiona w trakcie rozmowy i korzystający z “podpowiadacza” na żywo – tak wyglądał kandydat, który niemal dostał się do zespołu giełdy kryptowalut Kraken. Zamiast przyjęcia do pracy czekała go jednak pułapka zorganizowana przez zespół bezpieczeństwa pod kierunkiem Nicka Percoco. W efekcie firma ujawniła jedno z najśmielszych – i najmniej oczywistych – podejść północnokoreańskich hakerów do świata krypto: wejście “przez drzwi frontowe” w ramach rekrutacji.
Rekrutacja, której nie było
Pierwsze czerwone flagi pojawiły się już na etapie rozmowy wideo: kandydat zalogował się pod innym imieniem niż w CV i kilkakrotnie “przełączał” głos – jakby ktoś szeptał mu odpowiedzi przez słuchawkę. Gdy Kraken sprawdził zgłoszenie, okazało się, że użyty e-mail widnieje na liście adresów powiązanych z północnokoreańską siatką hakerską, którą giełdzie przekazali branżowi partnerzy.
„Jak spędzi Pan Sylwestra”?
Zespół firmy postanowił nie zrywać rozmów – zamiast tego przeszedł do ofensywy. W finałowej rundzie Percoco poprosił kandydata, by opowiedział o planach na Halloween; ten plątał się w zeznaniach, nie rozumiejąc amerykańskiego święta. Kolejne zadanie – pokazanie w telefonie bieżącej lokalizacji Houston – zakończyło się kilkuminutowym poszukiwaniem Teksasu na Google Maps.
“Lazarus na etacie” – dlaczego Korea Płn. poluje na stanowiska zdalne
Kraken nie jest odosobniony. Według Wired Pjongjang od lat szkoli tysiące młodych informatyków i dzięki pracy zdalnej “wszczepia” ich w zachodnie firmy, by zdobywać dostępy, wynagrodzenie i sprzęt. Często pomagają im lokalni “facylitatorzy” tworzący tzw. farmy laptopów, które przekierowują ruch z USA do Korei.
Dla reżimu to biznes wart miliardy: tylko w 2024 r. grupy powiązane z Lazarusem ukradły z giełd ponad 650 mln USD, a lutowe włamanie do Bybitu sięgnęło 1,4 mld USD.
Fałszywe firmy, prawdziwe szkody
Najnowsze śledztwo Reutersa pokazało, że ten sam aparat wywiadu zakłada w USA fikcyjne spółki — Blocknovas i Softglide — i wykorzystuje je do publikowania ogłoszeń rekrutacyjnych zawierających złośliwe oprogramowanie. FBI określa północnokoreańskie operacje cybernetyczne jako “jedną z najgroźniejszych trwałych plag” bezpieczeństwa narodowego.
Na co zwracać uwagę zdaniem CSO Krakena?
- Weryfikacja w czasie rzeczywistym – prośba o pokazanie ID przed kamerą, sprawdzenie lokalnych detali (np. paragonów) czy spontaniczne pytanie o pogodę w deklarowanym mieście.
- Listy ostrzegawcze – współdzielenie baz podejrzanych adresów e-mail i IP między firmami z branży krypto i FinTech.
- Segmentacja dostępu – nowo zatrudniony pracownik nie powinien od pierwszego dnia mieć kluczy do wszystkich repozytoriów.
- Kultura “zero trust” – jak podkreśla Percoco: “nie ufaj, weryfikuj”.
Branża przygotowuje się na „nowe”
- Regulatorzy – Departament Skarbu USA od miesięcy analizuje schemat wynajmowania fałszywych pracowników IT przez reżim Kim Dzong Una; kolejne sankcje są możliwe jeszcze w II kwartale.
- Branża krypto – giełdy i projekty DeFi już dziś implementują dodatkowe etapy KYC/AML w procesach rekrutacyjnych.
- Technologia – rosnące wykorzystanie deepfake’ów i modeli AI do generowania głosów i wideo oznacza, że tradycyjne rozmowy kwalifikacyjne przestają wystarczać.
“Front rekrutacyjny” to nie epizod, a stała linia starcia
Historia z Kraken pokazuje, że cyberwojna przeniosła się z firewalla na Zooma i LinkedIna. Dopóki praca zdalna pozostaje normą, a kryptowaluty kuszą szybkim zyskiem, firmy muszą zakładać, że potencjalny intruz może siedzieć po drugiej stronie każdego zgłoszenia. Przyszłość bezpieczeństwa to symbioza HR i infosec — zanim powiesz “witamy na pokładzie”, upewnij się, że to naprawdę twój nowy kolega, a nie ambasador Lazarusa.