Como a Kraken identificou um hacker norte-coreano que tentou conseguir um emprego

• A exchange de criptomoedas Kraken detectou e analisou recentemente, de forma preventiva, uma tentativa de infiltração por meio de candidatura a emprego por parte de um hacker norte-coreano
• O candidato tentou invadir usando múltiplas identidades, combinação de VPN e desktop remoto e documento de identidade roubado
• A equipe de segurança o manteve deliberadamente no processo seletivo para realizar detecção e coleta de informações
• Por meio de e-mail, conta do GitHub e análise OSINT, foi comprovada a ligação com grupos de hackers da Coreia do Norte
• O caso ressalta a importância de autenticação biométrica e verificação em tempo real, além da necessidade de consciência de segurança em toda a organização

Visão geral do caso

• As equipes de segurança e TI da Kraken bloqueiam rotineiramente várias tentativas de ataque
• Recentemente, detectaram e responderam a uma tentativa de invasão de um hacker norte-coreano usando o processo de contratação
• O candidato se inscreveu para uma vaga de engenharia, e um processo seletivo comum acabou se transformando em uma operação de coleta de informações
• Estima-se que hackers norte-coreanos tenham roubado mais de US$ 650 milhões de empresas de criptomoedas em 2024

Sinais suspeitos

• O nome foi alterado no meio da entrevista online após ele entrar com um nome diferente do que constava no currículo
• Durante a entrevista, foi identificada a possibilidade de orientação em tempo real, inclusive com mudança na voz
• A Kraken havia recebido informações de que hackers norte-coreanos estavam se candidatando ativamente a empresas de criptomoedas, e o candidato usou o mesmo endereço presente em uma lista de e-mails de hackers norte-coreanos obtida previamente

Investigação interna e descobertas

• A Red Team investigou o e-mail e o histórico de atividades do atacante por meio de análise OSINT
• A análise de registros de vazamento de dados confirmou e-mails ligados a várias identidades falsas
• Várias dessas identidades falsas também foram contratadas por outras empresas, e algumas pertenciam a agentes estrangeiros sancionados

Sinais técnicos anormais

• O candidato combinou VPN com um desktop remoto de Mac para ocultar sua localização
• O e-mail vinculado à conta do GitHub coincidia com dados vazados no passado
• O documento de identidade enviado era suspeito de ter sido adulterado com base em informações roubadas há dois anos

Como a organização respondeu

• Em vez de reprovar o candidato, a empresa deliberadamente o manteve no processo seletivo
• O foco foi entender suas táticas por meio de testes de segurança, desafios técnicos e solicitações de verificação
• A entrevista final foi conduzida com o diretor de segurança (CSO) da Kraken, com perguntas de verificação em tempo real inseridas no processo

Exemplos de perguntas de verificação em tempo real

• Solicitação para autenticar a localização atual
• Pedido para mostrar fisicamente um documento de identidade emitido pelo governo
• Inserção em tempo real de perguntas improvisadas, como pedir recomendações de restaurantes na cidade onde mora
• Como resultado, o candidato não conseguiu passar pela verificação

Declaração do CSO Nick Percoco

• O princípio de “não confie, verifique” é ainda mais importante hoje
• Qualquer pessoa ou empresa que lide com algo valioso pode se tornar alvo de ataque
• Consciência de segurança em nível organizacional e estratégia de resposta preventiva são essenciais

Principais lições

• Os atacantes tentam entrar pela porta da frente: além de invasões técnicas, também existem abordagens sociais
• A verificação em tempo real é uma arma poderosa: mesmo que seja possível enganar com IA generativa, a verificação real não é superada
• Segurança não é um problema só de TI: toda a organização, incluindo a equipe de recrutamento, precisa ter senso de segurança

Ao receber uma candidatura suspeita, lembre-se: a maior ameaça vem disfarçada de oportunidade