Inżynier-widmo zaatakował giełdę. Rekrutacja zmieniła się w operację kontrwywiadowczą

Inżynier-widmo zaatakował giełdę. Rekrutacja zmieniła się w operację kontrwywiadowczą

Północnokoreański inżynier-widmo z Grupy Lazarus, zmieniający imiona w trakcie rozmowy i korzystający z “podpowiadacza” na żywo – tak wyglądał kandydat, który niemal dostał się do zespołu giełdy kryptowalut Kraken. Zamiast przyjęcia do pracy czekała go jednak pułapka zorganizowana przez zespół bezpieczeństwa pod kierunkiem Nicka Percoco. W efekcie firma ujawniła jedno z najśmielszych – i najmniej oczywistych – podejść północnokoreańskich hakerów do świata krypto: wejście “przez drzwi frontowe” w ramach rekrutacji.

Rekrutacja, której nie było

Pierwsze czerwone flagi pojawiły się już na etapie rozmowy wideo: kandydat zalogował się pod innym imieniem niż w CV i kilkakrotnie “przełączał” głos – jakby ktoś szeptał mu odpowiedzi przez słuchawkę. Gdy Kraken sprawdził zgłoszenie, okazało się, że użyty e-mail widnieje na liście adresów powiązanych z północnokoreańską siatką hakerską, którą giełdzie przekazali branżowi partnerzy.

„Jak spędzi Pan Sylwestra”?

Zespół firmy postanowił nie zrywać rozmów – zamiast tego przeszedł do ofensywy. W finałowej rundzie Percoco poprosił kandydata, by opowiedział o planach na Halloween; ten plątał się w zeznaniach, nie rozumiejąc amerykańskiego święta. Kolejne zadanie – pokazanie w telefonie bieżącej lokalizacji Houston – zakończyło się kilkuminutowym poszukiwaniem Teksasu na Google Maps.

“Lazarus na etacie” – dlaczego Korea Płn. poluje na stanowiska zdalne

Kraken nie jest odosobniony. Według Wired Pjongjang od lat szkoli tysiące młodych informatyków i dzięki pracy zdalnej “wszczepia” ich w zachodnie firmy, by zdobywać dostępy, wynagrodzenie i sprzęt. Często pomagają im lokalni “facylitatorzy” tworzący tzw. farmy laptopów, które przekierowują ruch z USA do Korei.

Dla reżimu to biznes wart miliardy: tylko w 2024 r. grupy powiązane z Lazarusem ukradły z giełd ponad 650 mln USD, a lutowe włamanie do Bybitu sięgnęło 1,4 mld USD.

Fałszywe firmy, prawdziwe szkody

Najnowsze śledztwo Reutersa pokazało, że ten sam aparat wywiadu zakłada w USA fikcyjne spółki — Blocknovas i Softglide — i wykorzystuje je do publikowania ogłoszeń rekrutacyjnych zawierających złośliwe oprogramowanie. FBI określa północnokoreańskie operacje cybernetyczne jako “jedną z najgroźniejszych trwałych plag” bezpieczeństwa narodowego.

Na co zwracać uwagę zdaniem CSO Krakena?

  1. Weryfikacja w czasie rzeczywistym – prośba o pokazanie ID przed kamerą, sprawdzenie lokalnych detali (np. paragonów) czy spontaniczne pytanie o pogodę w deklarowanym mieście.
  2. Listy ostrzegawcze – współdzielenie baz podejrzanych adresów e-mail i IP między firmami z branży krypto i FinTech.
  3. Segmentacja dostępu – nowo zatrudniony pracownik nie powinien od pierwszego dnia mieć kluczy do wszystkich repozytoriów.
  4. Kultura “zero trust” – jak podkreśla Percoco: “nie ufaj, weryfikuj”.

Branża przygotowuje się na „nowe”

  • Regulatorzy – Departament Skarbu USA od miesięcy analizuje schemat wynajmowania fałszywych pracowników IT przez reżim Kim Dzong Una; kolejne sankcje są możliwe jeszcze w II kwartale.
  • Branża krypto – giełdy i projekty DeFi już dziś implementują dodatkowe etapy KYC/AML w procesach rekrutacyjnych.
  • Technologia – rosnące wykorzystanie deepfake’ów i modeli AI do generowania głosów i wideo oznacza, że tradycyjne rozmowy kwalifikacyjne przestają wystarczać.

“Front rekrutacyjny” to nie epizod, a stała linia starcia

Historia z Kraken pokazuje, że cyberwojna przeniosła się z firewalla na Zooma i LinkedIna. Dopóki praca zdalna pozostaje normą, a kryptowaluty kuszą szybkim zyskiem, firmy muszą zakładać, że potencjalny intruz może siedzieć po drugiej stronie każdego zgłoszenia. Przyszłość bezpieczeństwa to symbioza HR i infosec — zanim powiesz “witamy na pokładzie”, upewnij się, że to naprawdę twój nowy kolega, a nie ambasador Lazarusa.

Dziękujemy, że przeczytałeś/aś nasz artykuł do końca. Obserwuj nas w Wiadomościach Google i bądź na bieżąco!
Kryptowaluty bezpiecznie kupisz lub sprzedasz w sieci kantorów i bitomatów FlyingAtom
Zostaw komentarz

Twój adres e-mail nie będzie opublikowany.