Северокорейский инженер из Lazarus Group, меняет имена во время разговора и используя «подсказку»,-это то, как выглядел кандидат, который почти добрался до команды по обмену криптовалютой Кракен. Однако вместо поступления на работу ловушка, организованная группой безопасности под руководством Ника Перкоко. В результате компания показала один из самых смелых — и наименее очевидных — подходов северокорейских хакеров к крипто -миру: вход «через входную дверь» как часть набора персонала.
Набор, которого там не было
Первые красные флаги появились на видеопроводе: кандидат вошел в систему на другое имя, чем в резюме, и «переключил» голос несколько раз — как будто кто -то прошептал свои ответы через телефон. Когда Кракен проверил заявку, оказалось, что используемая электронная почта появляется в списке адресов, связанных с северокорейской хакерской сеткой, которую партнеры предоставили фондовой бирже.
«Как вы будете проводить новогодний канун?»
Команда компании решила Не нарушайте разговоры — Вместо этого он пошел в наступление. В последнем раунде Перкоко попросил кандидата поговорить о планах на Хэллоуин; Он запутался в показаниях, не понимая американский праздник. Другая задача — показывая текущее местоположение Хьюстона на телефоне — закончилось поиском Техаса на картах Google в течение нескольких минут.
«Полный — время Лазаря» — почему Северная Корея охотится на отдаленные позиции
Кракен не одинок. В соответствии с Проводной Пхеньян годами обучал тысячи молодых специалистов по ИТ в течение многих лет и, благодаря отдаленной работе, «имплантирует» их в западные компании, чтобы получить доступ, зарплату и оборудование. Местные «фасилитаторы» создают так называемые ноутбуки, которые перенаправляют трафик из США в Корею.
Для режима это бизнес на миллиарды: только в 2024 годах группы, связанные с Лазаром, украли в 650 миллионов долларов США на фондовых биржах, а февральское кража со взломом достигла 1,4 миллиарда долларов США.
Ложные компании, реальный ущерб
Последнее исследование Reuters показало, что тот же интеллектуальный аппарат предполагает вымышленные компании в США — Blocknovas и Softglide — и использует их для публикации рекламных объявлений, содержащих вредоносные программы. ФБР определяет северокорейские кибернетические операции как «одну из самых опасных постоянных язв» национальной безопасности.
Что искать в соответствии с CSO Kraken?
- Проверка в реальном времени — Запрос, чтобы показать идентификатор перед камерой, проверьте локальные данные (например, квитанции) или спонтанный вопрос о погоде в объявленном городе.
- Предупреждающие письма -Карирование подозрительных баз данных адресов электронной почты и IP между компаниями из крипто-индустрии.
- Доступ к сегментации — Недавно работающий сотрудник не должен иметь ключи ко всем репозиториям с первого дня.
- Культура «Zero Trust» — Как подчеркивает Percoco: «Не доверяйте, проверьте».
Индустрия готовится к «новой»
- Регуляторы — Департамент США анализирует схему аренды ложных ИТ -сотрудников режимом Ким Чон Уна в течение нескольких месяцев; Последующие санкции все еще возможны во второй четверти.
- Крипто -индустрия — Фондовые биржи и проекты DEFI уже реализуют дополнительные этапы KYC/AML в процессах найма.
- Технология — Растущее использование DeepFakes и моделей искусственного интеллекта для получения голосов, а видео означает, что традиционных интервью перестают быть достаточно.
«Фронт найма» — это не эпизод, а постоянная линия столкновения
История Кракена показывает, что Cyberwojna переехала из брандмауэра к увеличению и LinkedIn. Пока удаленная работа остается нормой, а криптовалюты соблазняются с быстрой прибылью, компании должны предположить, что потенциальный злоумышленник может сидеть на другой стороне каждого приложения. Будущее безопасности — это симбиоз HR и Infosec — прежде чем вы скажете «добро пожаловать на борт», убедитесь, что это действительно ваш новый коллега, а не посол Лазаря.
