Principaux à retenir
- Kraken a identifié un pirate nord-coréen se faisant passer pour un candidat d’emploi et a transformé l’entretien en opération de piqûre.
- À la fin de l’entretien, Kraken a découvert que ce n’était pas un vrai candidat mais une tentative de piratage soutenue par l’État.
- Les groupes de piratage nord-coréens ont de plus en plus utilisé de fausses candidatures pour infiltrer les entreprises crypto aux États-Unis et en Europe.
Kraken a révélé qu’il avait intercepté une tentative secrète d’un pirate nord-coréen d’infiltrer l’entreprise, cette fois, non par le code, mais via une demande d’emploi.
Le Crypto Exchange a déclaré dans un article de blog du vendredi que son équipe d’embauche a signalé un comportement suspect au début du processus.
Cependant, plutôt que de couper l’interview court, ils ont joué, faisant progresser le demandeur pour recueillir des informations sur leurs tactiques.
Tu veux voir ça
Sommaire
L’entretien d’embauche de Kraken devient numérique
Ce qui a commencé comme un entretien d’embauche de routine pour un rôle d’ingénierie chez Kraken s’est transformé en une opération secrète de piqûre, révélant une tentative de piratage parrainée par l’État liée à la Corée du Nord.
Selon l’échange, les recruteurs ont rapidement signalé plusieurs drapeaux rouges au cours des premiers stades du processus.
Le demandeur a accédé à l’entretien à l’aide d’un bureau Mac colocié via un VPN, une configuration souvent utilisée pour masquer l’emplacement.
D’autres vérifications ont révélé que le profil GitHub du candidat était lié à un e-mail exposé dans une violation de données précédente. Encore plus révélateur, les documents d’identification qu’ils ont fournis semblaient manipulés et liés à un cas de vol d’identité connu.
Au cours de l’entretien, le candidat s’est joint sous un même nom et l’a changé au milieu de l’appel. Ils ont également changé de voix au milieu de l’appel, suggérant que plus d’une personne était présente.
Au fur et à mesure que les soupçons grandissaient, Kraken a augmenté l’interview à son équipe de sécurité.
Dans une interview finale, l’équipe de sécurité de Kraken a glissé des tests de vérification subtils. Ils ont demandé au candidat de vérifier leur identité avec des invites à deux facteurs, de montrer une pièce d’identité émise par le gouvernement et de nommer des restaurants locaux de la ville dans laquelle ils ont prétendu être.
Le demandeur a lutté avec tous, incapable de vérifier leur emplacement ou de produire une documentation légitime.
À la fin de l’appel, Kraken a conclu que la personne interrogée n’était pas un demandeur d’emploi légitime mais faisait partie d’un effort coordonné pour infiltrer les systèmes de l’entreprise.
Une menace croissante
« Ne faites pas confiance, vérifiez », a déclaré le directeur de la sécurité de Kraken, Nick Percoco. «Ce principe de crypto de base est plus pertinent que jamais à l’ère numérique.»
Les attaques parrainées par l’État ne concernent plus seulement les logiciels malveillants ou les e-mails de phishing. Les pirates nord-coréens ciblaient de plus en plus les entreprises crypto de l’intérieur, se faisant passer pour des candidats pour obtenir un accès privilégié aux systèmes.
Le FBI et d’autres agences internationales ont mis en garde contre cette tactique, qui a déjà été utilisée pour cibler les entreprises des États-Unis, du Royaume-Uni et de l’Europe.
Tout récemment, CCN a rapporté que le groupe de piratage nord-coréen Lazarus a créé des sociétés écrans aux États-Unis en utilisant de fausses identités et adresses.
Ces entités ont ensuite été utilisées pour publier des listes d’emplois, ciblant principalement les développeurs dans l’espace crypto, pour distribuer des logiciels malveillants.
Une fois la cible engagée, ils ont été envoyés des fichiers infectés capables d’accéder à des clés privées, de numériser des documents sensibles et d’installer des délais dans leurs systèmes.