Wie ein nordkoreanischer Hacker identifiziert wurde, der versuchte, sich über eine Bewerbung Zugang zu verschaffen

 (blog.kraken.com)
7 Punkte von GN⁺ 2025-05-03 | 3 Kommentare | Auf WhatsApp teilen
  • Die Krypto-Börse Kraken hat kürzlich einen Infiltrationsversuch eines nordkoreanischen Hackers über eine Bewerbung frühzeitig erkannt und analysiert
  • Der Bewerber versuchte einzudringen, indem er mehrere Identitäten, eine Kombination aus VPN und Remote-Desktop sowie gestohlene Ausweisdokumente nutzte
  • Das Sicherheitsteam ließ ihn absichtlich weiter am Bewerbungsprozess teilnehmen, um Erkennung und Informationsgewinnung zu betreiben
  • Über E-Mails, GitHub-Konten und OSINT-Analysen wurde eine Verbindung zu nordkoreanischen Hackergruppen nachgewiesen
  • Der Vorfall unterstreicht die Bedeutung von biometrischer Authentifizierung und Echtzeit-Verifikation sowie die Notwendigkeit eines organisationsweiten Sicherheitsbewusstseins

Überblick über den Vorfall

  • Kravens Sicherheits- und IT-Teams wehren routinemäßig verschiedenste Angriffsversuche ab
  • Kürzlich wurde ein Infiltrationsversuch eines nordkoreanischen Hackers über den Einstellungsprozess erkannt und abgewehrt
  • Die betreffende Person bewarb sich auf eine Engineering-Position, und ein gewöhnlicher Bewerbungsprozess wurde zu einer Operation zur Informationsgewinnung
  • Nordkoreanische Hacker sollen 2024 mehr als 650 Millionen US-Dollar von Krypto-Unternehmen gestohlen haben

Verdachtsmomente

  • Der Name wurde während des Online-Interviews mitten im Gespräch geändert und stimmte zunächst nicht mit dem im Lebenslauf überein
  • Während des Interviews änderte sich die Stimme, was auf mögliches Echtzeit-Coaching hindeutete
  • Kraken hatte Hinweise erhalten, dass sich nordkoreanische Hacker aktiv bei Krypto-Unternehmen bewerben, und die Bewerbung ging unter derselben Adresse ein wie eine E-Mail aus einer zuvor beschafften Liste nordkoreanischer Hacker-E-Mails

Interne Untersuchung und Erkenntnisse

  • Das Red Team untersuchte per OSINT-Analyse die E-Mail-Adresse und den Aktivitätsverlauf des Angreifers
  • Durch die Analyse von Datenlecks wurden E-Mail-Adressen identifiziert, die mit mehreren gefälschten Identitäten verknüpft waren
  • Mehrere dieser falschen Identitäten waren auch bei anderen Unternehmen angestellt, einige davon als sanktionierte ausländische Akteure

Technische Auffälligkeiten

  • Der Kandidat verschleierte seinen Standort durch die Kombination aus VPN und einem entfernten Mac-Desktop
  • Die mit dem GitHub-Konto verknüpfte E-Mail-Adresse stimmte mit früher geleakten Daten überein
  • Beim eingereichten Ausweis bestand der Verdacht, dass er auf Grundlage von vor zwei Jahren gestohlenen Informationen manipuliert wurde

Reaktion der Organisation

  • Der Bewerber wurde nicht sofort abgelehnt, sondern absichtlich weiter im Prozess gehalten
  • Über Sicherheitstests, technische Aufgaben und Verifikationsanfragen konzentrierte man sich darauf, seine Taktiken zu verstehen
  • Das Abschlussinterview wurde mit Kravens Chief Security Officer (CSO) geführt und um Fragen zur Echtzeit-Verifikation ergänzt

Beispiele für Fragen zur Echtzeit-Verifikation

  • Bitte um Bestätigung des aktuellen Standorts
  • Bitte um Vorzeigen eines physischen, staatlich ausgestellten Ausweises
  • Einfügen spontaner Fragen in Echtzeit, etwa nach Restaurantempfehlungen in der Stadt des Wohnsitzes
  • Letztlich bestand der Bewerber die Verifikation nicht

Aussage von CSO Nick Percoco

  • Das Prinzip „Vertraue nicht, sondern verifiziere“ ist heute wichtiger denn je
  • Jede Person und jedes Unternehmen, das mit etwas Wertvollem umgeht, kann zum Angriffsziel werden
  • Organisationsweites Sicherheitsbewusstsein und proaktive Abwehrstrategien sind entscheidend

Zentrale Lehren

  • Angreifer versuchen, durch die Vordertür hereinzukommen: Neben technischen Einbruchsversuchen gibt es auch soziale Angriffswege
  • Echtzeit-Verifikation ist eine starke Waffe: Mit generativer KI lässt sich täuschen, an echter Verifikation scheitert man jedoch
  • Sicherheit ist nicht nur ein IT-Thema: Das gesamte Unternehmen, einschließlich des Recruiting-Teams, muss ein Sicherheitsbewusstsein entwickeln

Wenn du eine verdächtige Bewerbung erhältst, denke daran: Die größte Bedrohung tarnt sich als Chance

Verwandte Beiträge

3 Kommentare

 
ahwjdekf 2025-05-04

Könnten Sie bitte laut sagen: „Kim Jong-un, du Mistkerl“? Sie haben 5 Sekunden.
 
cnaa97 2025-05-03

Soziales Übel
 
GN⁺ 2025-05-03
Hacker-News-Kommentare

  • Sie behaupten, sie hätten mithilfe grundlegender Fragen und Hintergrundrecherchen „OSINT“-Techniken eingesetzt

    • Das vermittelt den Eindruck, dass der Sicherheitsbranche bei Einstellungen grundlegende Sicherheitsverfahren fehlen
    • Problematisch ist, dass talentierte arbeitslose Menschen keine Jobs finden, während falsche Identitäten eingestellt werden

  • Die Annahme ist, dass Remote-Recruiting eine große Schwachstelle ist

    • Es gab einen Fall, in dem ein hervorragender Ingenieur eingestellt wurde, die eigentliche Arbeit aber an Remote-Arbeitskräfte in Pakistan und Indien weitergab
    • Remote-Arbeit hat viele Vorteile, bringt aber auch erhebliche Sicherheitsprobleme mit sich

  • Interessanter Artikel, aber zu sagen, man habe mit OSINT-Methoden recherchiert, ist im Grunde dasselbe wie simples Googeln

  • Im Artikel wird nicht erwähnt, dass die Person Nordkoreaner war

    • Eine E-Mail-Adresse, die bei einem früheren Datenleck offengelegt wurde, war mit dem GitHub-Profil verknüpft
    • Das ist kein besonders aussagekräftiger Indikator

  • Vor dem Interview erhielt man Informationen, dass sich nordkoreanische Hacker aktiv bei Krypto-Unternehmen bewerben

    • Man bekam eine Liste von E-Mail-Adressen, die mit der Hackergruppe in Verbindung standen, und eine davon stimmte mit dem Bewerber überein
    • Dieses einzelne Warnsignal hätte ausreichen müssen, um den Bewerber sofort auszuschließen

  • Aussage von CSO Nick Percoco

    • Der Grundsatz „Vertraue nicht, sondern überprüfe“ ist im digitalen Zeitalter noch wichtiger
    • Staatlich unterstützte Angriffe sind eine globale Bedrohung, und Resilienz beginnt mit der Vorbereitung auf solche Angriffe
    • Es ist schon ironisch, dass ein CSO eines Krypto-Unternehmens so etwas sagt

  • 2024 wurden viele Interviews geführt, um Remote-Frontend- und Backend-Ingenieure einzustellen

    • Es gab viele Bewerber mit europäischen Namen, und sie waren alle Asiaten
    • Sie behaupteten, aus Schweden, Finnland oder Norwegen zu kommen, hatten aber einen starken asiatischen Akzent
    • Die Situation wirkte verdächtig, daher wurde das Interview abgebrochen

  • In einem alten Reddit-Thread empfahl jemand die Frage: „Wie fett ist Kim Jong-un?“

  • Diese Geschichte ist langweilig

    • Sagt Bescheid, wenn sie Implantate auf den Host-Geräten installieren und im Rahmen eines langfristigen Plans auf die Geräte anderer Angreifer übergehen oder sie in ein Land locken, aus dem eine Auslieferung an die USA möglich ist

  • Man wusste bereits, dass Name, E-Mail und GitHub des Bewerbers in früheren Leaks enthalten waren

    • Ich verstehe den Plan nicht, trotzdem ein Interview zu führen, um mehr Informationen zu bekommen
    • Es wäre genauso nützlich gewesen, die Unstimmigkeiten direkt anzusprechen wie ein abschließendes Interview zu führen