Nordkoreanischer Hacker versuchte, bei Kraken einzusteigen

MÜNCHEN (IT BOLTWISE) – In einer zunehmend digitalisierten Welt, in der Cyberangriffe allgegenwärtig sind, hat Kraken, ein führendes Unternehmen im Bereich Kryptowährungen, einen bemerkenswerten Fall von Cyberinfiltration aufgedeckt. Ein nordkoreanischer Hacker versuchte, durch den Bewerbungsprozess in das Unternehmen einzudringen.

Die Sicherheits- und IT-Teams von Kraken sind täglich mit einer Vielzahl von Angriffen konfrontiert, die von unterschiedlichen Akteuren ausgehen. Diese Angriffe umfassen ein breites Spektrum an Vektoren, die selbst den Rekrutierungsprozess eines Unternehmens betreffen können. Kürzlich identifizierten die Teams einen nordkoreanischen Hacker, der versuchte, sich bei Kraken einzuschleichen, indem er sich auf eine Stelle bewarb.

Was als routinemäßiger Einstellungsprozess für eine Ingenieursposition begann, entwickelte sich schnell zu einer Informationsbeschaffungsoperation. Die Teams von Kraken führten den Kandidaten strategisch durch den Einstellungsprozess, um mehr über seine Taktiken zu erfahren. Dies ist eine bekannte Herausforderung in der Kryptobranche, da Schätzungen zufolge nordkoreanische Hacker allein im Jahr 2024 über 650 Millionen US-Dollar von Kryptofirmen gestohlen haben.

Bereits beim ersten Kontakt mit dem Bewerber fielen Unregelmäßigkeiten auf. Der Kandidat trat unter einem anderen Namen auf, als auf seinem Lebenslauf angegeben, und wechselte während des Gesprächs die Stimme, was darauf hindeutete, dass er in Echtzeit gecoacht wurde. Branchenpartner hatten Kraken zuvor gewarnt, dass nordkoreanische Hacker aktiv versuchen, sich bei Kryptounternehmen zu bewerben.

Mit diesen Informationen startete das Red Team von Kraken eine Untersuchung unter Verwendung von Open-Source-Intelligence-Methoden (OSINT). Eine Methode bestand darin, Daten aus Sicherheitsverletzungen zu analysieren, die Hacker häufig nutzen, um Nutzer mit schwachen oder wiederverwendeten Passwörtern zu identifizieren. Dabei stellte sich heraus, dass eine der E-Mail-Adressen des Kandidaten Teil eines größeren Netzwerks von gefälschten Identitäten war.

Die Untersuchung ergab, dass der Hacker mehrere Identitäten geschaffen hatte, um sich auf Stellen in der Kryptobranche und darüber hinaus zu bewerben. Einige dieser Identitäten waren bereits bei anderen Unternehmen angestellt worden. Eine Identität in diesem Netzwerk war zudem als ausländischer Agent auf der Sanktionsliste bekannt.

Als die Teams von Kraken tiefer in die Geschichte und die Referenzen des Kandidaten eintauchten, traten technische Inkonsistenzen auf. Der Kandidat nutzte remote colocated Mac-Desktops, interagierte jedoch über ein VPN mit anderen Komponenten, eine gängige Methode, um Standort und Netzwerkaktivitäten zu verschleiern. Sein Lebenslauf war mit einem GitHub-Profil verknüpft, das eine E-Mail-Adresse enthielt, die bei einem früheren Datenleck offengelegt worden war.

Statt den Bewerber zu alarmieren, führten die Sicherheits- und Rekrutierungsteams von Kraken ihn strategisch durch den rigorosen Einstellungsprozess, um seine Vorgehensweise zu studieren. Dies beinhaltete mehrere Runden technischer Infosec-Tests und Verifizierungsaufgaben, um wichtige Details über seine Identität und Taktiken zu extrahieren.

In der letzten Interviewrunde, die als lockeres Gespräch mit dem Chief Security Officer von Kraken, Nick Percoco, und anderen Teammitgliedern getarnt war, wurde der Bewerber mit subtilen, aber gezielten Tests seiner Identität konfrontiert. Zwischen den Standardfragen wurden Zwei-Faktor-Authentifizierungsaufforderungen eingefügt, wie die Bitte, seinen Standort zu verifizieren oder einen amtlichen Ausweis vorzuzeigen.

Der Bewerber geriet ins Wanken und konnte die grundlegenden Verifikationstests nicht bestehen. Am Ende des Interviews war klar, dass es sich nicht um einen legitimen Bewerber handelte, sondern um einen Betrüger, der versuchte, in die Systeme von Kraken einzudringen.

Nick Percoco kommentierte die Ereignisse: „Vertrauen ist gut, Kontrolle ist besser. Dieser Grundsatz ist in der digitalen Ära relevanter denn je. Staatlich gesponserte Angriffe sind nicht nur ein Problem der Kryptobranche oder der US-Unternehmen – sie sind eine globale Bedrohung. Jeder, der mit Werten umgeht, ist ein Ziel, und Resilienz beginnt mit der operativen Vorbereitung auf diese Art von Angriffen.“

Die Ereignisse bei Kraken zeigen, dass nicht alle Angreifer versuchen, sich gewaltsam Zugang zu verschaffen – einige versuchen, durch die Vordertür zu kommen. Während sich Cyberbedrohungen weiterentwickeln, müssen auch die Sicherheitsstrategien angepasst werden. Ein ganzheitlicher, proaktiver Ansatz ist entscheidend, um ein Unternehmen zu schützen.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!