暗号資産取引所のクラーケンは、北朝鮮のハッカーが求職者を装って行った巧妙な侵入試みを発見した。
セキュリティと採用チームは、候補者を採用プロセスに進めた。彼らの戦略を研究し、重要なインサイトを得るためである。
Sponsored北朝鮮ハッカー、クラーケン侵入試み
クラーケンは5月1日のブログ投稿で事件を詳述した。ハッカーは取引所のエンジニア職に応募し、当初は正当な候補者として現れたが、採用プロセス中にいくつかの警告が現れた。
「エンジニア職の通常の採用プロセスが、情報収集作戦に変わった。チームは候補者を慎重に進め、各段階で彼らの戦術を学んだ」とクラーケンは述べた。
候補者は面接中に別の名前を使用し、声を変え続けた。これは指導を受けていることを示唆している。北朝鮮のハッカーに関連するメールを使用して応募した。
さらに、オープンソースインテリジェンス(OSINT)調査で、候補者が偽の身元ネットワークに関与していることが明らかになった。
Sponsored Sponsored「これは、1人の個人が複数の身元を確立し、暗号資産の世界やそれ以外の役職に応募するハッキング作戦を発見したことを意味する。チームは彼らに関連する仕事用メールアドレスを特定し、いくつかの名前は複数の企業に採用されていた。このネットワークの1つの身元は、制裁リストに載っている外国のエージェントでもあった」とブログに記載されている。
さらに、リモートで配置されたMacデスクトップをVPN経由でアクセスし、IDを変更するなどの技術的不一致が侵入試みを示していた。この情報は、候補者が国家支援のハッカーである可能性が高いことを確認した。
最終面接で、クラーケンのニック・ペルココ最高セキュリティ責任者とチームメンバーは、会社の疑念を確認した。候補者が所在地を確認できず、都市や市民権についての質問に答えられなかったことで、偽者であることが明らかになった。
「彼らの仕事は、知的財産を盗み、企業から金を盗み、給料を持ち帰り、広範囲にわたって行うことだ」とペルココ氏はCBSに語った。
FinCEN、Huioneグループ禁止提案:北朝鮮関係
一方、別の展開として、米国金融犯罪取締ネットワーク(FinCEN)は、カンボジアに拠点を置くHuioneグループを米国金融システムから排除することを提案した。部門は、Huioneが北朝鮮のハッカーグループの主要な支援者であると特定した。これには、サイバー強盗や「豚の屠殺」暗号資産詐欺が含まれる。
「Huioneグループは、DPRKや犯罪組織のような悪意のあるサイバーアクターにとっての選択の市場として確立されている。彼らは日常のアメリカ人から数十億ドルを盗んでいる」と財務長官のスコット・ベッセント氏は述べた。
FinCENは、グループが2021年8月から2025年1月までに40億ドル以上の不正資金を洗浄したと非難した。部門によれば、Huioneのネットワークには、Huione Pay、Huione Crypto、Haowang Guaranteeが含まれ、暗号資産犯罪者にとっての好ましい市場であり、支払い処理や不正なオンライン市場を提供している。
Sponsored「今日の提案された行動は、Huioneグループのコルレス銀行へのアクセスを断ち、これらのグループが不正に得た利益を洗浄する能力を低下させる。財務省は、悪意のあるサイバーアクターが犯罪計画から収益を得る試みを妨害することに引き続き取り組んでいる」とベッセント氏は付け加えた。
これらの事件は、暗号資産セクターに対する北朝鮮のサイバー攻撃のパターンを浮き彫りにした。2024年には、ハッカーが暗号資産企業から6億5900万ドル以上を盗んだ。
米国、日本、韓国の共同声明によると、北朝鮮のハッカーは、ソーシャルエンジニアリングやマルウェア(例:TraderTraitor、AppleJeus)を使用して業界を標的にした。さらに、北朝鮮のIT労働者は民間企業に対する内部脅威として特定された。
以前、BeInCryptoの報告では、悪名高いラザルスグループ、北朝鮮の国家支援ハッキング集団がBybitとUpbitの窃盗に関与していることが強調された。さらに、同国のハッカーグループはRadiant CapitalのハッキングやDMM Bitcoinの悪用にも関与していた。
実際、最近、オンチェーン調査員のZachXBTは、分散型金融(DeFi)プロトコルにおける北朝鮮の関与を明らかにした。一部のプロトコルは、月間取引量/手数料のほぼ100%を朝鮮民主主義人民共和国(DPRK)に依存している。
