I korte træk
– Kraken identificerede en jobansøger, der brugte en falsk identitet, og mistænkte coaching under samtaler.
– En undersøgelse knyttede ansøgeren til et kendt netværk af nordkoreanske agenter.
– Fjernarbejde, falske profiler og digital bedrag understøtter forsøg på statsstøttet infiltration.
En rutinemæssig jobsamtale på kryptobørsen Kraken blev til en hemmelig efterforskning, efter en jobkandidat vakte mistanke om at være en nordkoreansk agent.
I stedet for at afslutte processen valgte Kraken at fortsætte samtalerne for at indsamle indsigt i de taktikker, der blev brugt.
Hvad der begyndte som en standard ansættelsesproces til en fjerningeniørrolle udviklede sig til det, Kraken beskrev som en “efterretningsindsamlingsoperation,” sagde virksomheden i et blogindlæg offentliggjort torsdag.
Nordkoreas bestræbelser på at infiltrere krypto- og teknologivirksomheder er blevet mere aggressive i de seneste år. Regimet ser branchen som et lukrativt mål.
Ved at placere agenter inden i virksomheder får regimet adgang til følsomme data og kan udsende ransomware eller ondsindet kode. Fjernarbejde og globale ansættelsespraksisser har kun gjort sådanne operationer nemmere at skjule. De er også blevet beskyldt for at oprette falske amerikanske kryptofirmaer for at rette sig mod udviklere.
Advarselslamper
For Kraken kom advarselslamperne straks. Kandidaten deltog i et indledende videomøde under et navn, der ikke matchede det i deres CV, og skiftede det under samtalen. Personen virkede også til at skifte mellem forskellige stemmer, hvilket indikerede mulig coaching i realtid.
Kraken bemærkede, at de allerede havde modtaget efterretninger fra samarbejdspartnere om nordkoreanske agenter, der ansøgte om jobs hos kryptovirksomheder. En e-mail brugt af kandidaten matchede adresser, der var blevet markeret af branchekilder.
En intern undersøgelse knyttede e-mailen til et større netværk af aliasser, hvoraf nogle allerede havde sikret ansættelse i andre firmaer. En identitet var knyttet til en sanktioneret udenlandsk agent.
GitHub-profilen angivet på CV’et var forbundet med en e-mail, der var blevet afsløret i en tidligere dataindsprængning. ID’et, der blev indsendt i processen, syntes at være forfalsket og kan have brugt stjålne oplysninger fra en tidligere identitetstyverisag.
Ansøgeren brugte en colokaliseret fjern-Mac-skrivebord, der blev tilgået via VPN for at skjule deres placering.
Under den endelige samtale med Nick Percoco, Krakens sikkerhedschef, og andre teammedlemmer, introducerede Kraken spontane verifikationsforespørgsler, såsom at vise et regerings-ID, bekræfte deres bopælsby samt navngive lokale restauranter.
“På dette tidspunkt faldt kandidaten fra hinanden. Forvirret og overrasket klarede de ikke de grundlæggende verifikationstests og kunne ikke overbevisende besvare spørgsmål i realtid om deres bopælsby eller statsborgerskabsland,” sagde Kraken.
Ikke overraskende valgte Kraken i sidste ende ikke at fortsætte med ansættelsen.
Virksomheden sagde, at oplevelsen understreger behovet for, at organisationer forbliver opmærksomme mod sofistikerede, statsstøttede infiltrationsforsøg.
“Stol ikke, verificer. Denne kerneprincip for krypto er mere relevant end nogensinde i den digitale tidsalder,” sagde Percoco. “Statslige angreb er ikke kun et problem for krypto- eller amerikanske virksomheder — de udgør en global trussel.”
Kraken Flags Mistænkt Nordkoreansk Jobsøger Forsøger at Infiltrere Børsen
