شركة كراكن تصطاد هاكرًا من كوريا الشمالية تقدم لوظيفة هندسية "لتعلم تكتيكاتهم"

كيف تم القبض على مخترق كوري شمالي أثناء محاولته الحصول على وظيفة في شركة تشفير

لم يكن مجرد طلب وظيفة آخر لشركة Kraken.

عندما بدأت بورصة العملات المشفرة التي يقع مقرها في الولايات المتحدة عملية التوظيف المعتادة لدور هندسي، شعرت بشيء غريب - وما بدأ كإجراء روتيني سرعان ما تحول إلى عملية مكافحة استخبارات داخلية.

كراكنمكشوف أنه تم إبلاغه من قبل جهات اتصال الصناعة بأنقراصنة كوريا الشمالية كانوا يستهدفون شركات التشفير بشكل نشط من خلال التظاهر بأنهم متقدمون للوظائف.

لذلك، عندما وصلت إحدى السير الذاتية المشبوهة إلى مكتبهم، قرر الفريق عدم رفضها بشكل مباشر.

وبدلاً من ذلك، فإنهم يتركون العملية تستمر، مستغلين الفرصة لجمع المعلومات الاستخبارية حول أساليب المهاجم.

ما الذي كشف هوية المخترق أثناء عملية المقابلة؟

منذ المقابلة الأولى، بدأت التناقضات تظهر.

استخدم المرشح اسمًا مختلفًا أثناء مكالمة الفيديو عن الاسم المدرج في طلبه.

ويقال إن الصوت تغير أثناء المحادثة، مما أثار المزيد من الشكوك.

ومع تقدم المقابلات إلى الجولة النهائية، قامت فرق التوظيف والأمن في شركة كراكن بنصب فخاخ خفية.

تم تصميم سلسلة من الاختبارات المباشرة لتحدي الهوية التي يدعيها المتقدمون - بما في ذلك طلبات التحقق من الموقع في الوقت الفعلي والتوصية بالمطاعم المحلية في المدينة التي يزعمون أنهم يعيشون فيها.

كراكن ووصف كيف أصبح المرشح مهتزًا بشكل واضح،

عند هذه النقطة، انهار المرشح. شعر بالارتباك والمفاجأة، وواجه صعوبة في اجتياز اختبارات التحقق الأساسية، ولم يستطع الإجابة بشكل مقنع على الأسئلة الفورية المتعلقة بمدينة إقامته أو بلد جنسيته.

أثناء المقابلة النهائية، انزعج المرشح الكوري الشمالي "ستيفن سميث" من سؤال غير متوقع حول توصية طعام، فرد بشكل محرج: "لا يوجد شيء خاص هنا".

هويات مزيفة وشبكة من الأسماء المستعارة

وبعد البحث المعمق، وجد محققو Kraken أن عنوان البريد الإلكتروني المستخدم في التطبيق كان مرتبطًا بشبكة أوسع من الهويات المزيفة.

وأظهر التحليل الجنائي لبطاقة هوية مقدم الطلب وجود علامات تلاعب، ربما تضمنت معلومات شخصية مسروقة من ضحايا سرقة الهوية.

وبحسب موقع Kraken، فإن المخترق لم يكن يتصرف بمفرده.

وذكرت الشركة،

أنشأ أحد الأفراد هويات متعددة للتقدم لوظائف في مجال العملات المشفرة وما بعده. وقد سبق لعدد من هؤلاء الأفراد أن وظفتهم شركات متعددة.

بالإضافة إلى ذلك، كان هناك أيضًا اسم مستعار يعود لشخص مدرج بالفعل على العقوبات الدولية باعتباره عميلًا أجنبيًا.

التهديدات التي ترعاها الدول تتطور وتتسلل من الباب الأمامي

وحذر نيك بيركوكو، كبير مسؤولي الأمن في شركة كراكن، من أن هذا التكتيك أصبح "تهديدًا عالميًا".

فيبيان رسمي حذرت شركة كراكن من أن التهديدات الإلكترونية اليوم لا تبدأ دائمًا بمحاولة اختراق.

كما وصفها كراكن،

"لا يتمكن جميع المهاجمين من الدخول، فبعضهم يحاول الدخول عبر الباب الأمامي."

وأشارت شركة Kraken إلى أنه في حين تساعد الذكاء الاصطناعي الجهات الفاعلة في التهديد على إنشاء هويات أكثر إقناعًا، فإن عمليات التحقق التي يقودها الإنسان لا تزال تعمل.

لا يزال التفاعل البشري البسيط، مثل الطلبات المتنوعة القائمة على الموقع أو عمليات التحقق من هوية الوجه أثناء المكالمات المباشرة، قادرًا على الكشف عن الحقيقة ويساعد في تجنب أنماط التحقق المتوقعة.

شركات العملات المشفرة تواجه مخاطر مستمرة من الحملات الإلكترونية الكورية الشمالية

وتضيف هذه الحادثة الأخيرة إلى المخاوف المتزايدة بشأن تورط كوريا الشمالية في الجرائم الإلكترونية المتعلقة بالعملات المشفرة.

أظهرت الأبحاث التي أجرتها مجموعة Threat Intelligence Group التابعة لشركة Google أنيبحث العاملون في مجال تكنولوجيا المعلومات في كوريا الشمالية بنشاط عن وظائف في شركات في الولايات المتحدة وأوروبا - توليد الإيرادات للنظام من خلال الرواتب المشروعة، وفي بعض الحالات، من خلال ابتزاز أصحاب العمل.

ذكرت TechCrunch في وقت سابق أن المجموعات الكورية الشمالية المدعومة من الدولة كانت وراء سرقة أكثر من 650 مليون دولار من العملات المشفرة خلال عام 2024 وحده.

في فبراير، ربطت Arkham Intelligence بينمجموعة لازاروس تتعرض لاختراق ضخم لشركة بايبت ، الذي شهدكرسي بقيمة أكثر من 1.5 تريليون دولار - مما يجعلها أكبر عملية سرقة للعملات المشفرة حتى الآن.

ربما كان نهج كراكن كافيا لمنع حدوث خرق آخر - ليس من خلال جدران الحماية، ولكن من خلال تحويل عملية التوظيف إلى فخ.