Kraken, một sàn giao dịch tiền điện tử nổi tiếng, đã phát hiện một nỗ lực xâm nhập tinh vi từ một hacker Triều Tiên giả danh ứng viên xin việc.
Đội ngũ an ninh và tuyển dụng đã tiến hành đưa ứng viên qua quy trình tuyển dụng. Mục tiêu là để nghiên cứu chiến lược của họ và thu thập thông tin quan trọng.
Cách một hacker Triều Tiên cố gắng xâm nhập Kraken
Kraken đã chi tiết sự việc này trong một bài đăng blog gần đây vào ngày 01/05. Hacker đã nộp đơn cho một vị trí kỹ sư tại sàn giao dịch, ban đầu xuất hiện như một ứng viên hợp pháp, được cho là tên Steven Smith. Tuy nhiên, nhiều dấu hiệu đáng ngờ đã xuất hiện trong quá trình tuyển dụng.
“Điều bắt đầu như một quy trình tuyển dụng thông thường cho vị trí kỹ sư nhanh chóng trở thành một hoạt động thu thập thông tin tình báo, khi đội ngũ của chúng tôi cẩn thận đưa ứng viên qua quy trình tuyển dụng để tìm hiểu thêm về chiến thuật của họ ở mỗi giai đoạn của quy trình,” Kraken ghi chú.
Ứng viên sử dụng một tên khác trong buổi phỏng vấn và liên tục thay đổi giọng nói, cho thấy có sự hướng dẫn. Họ đã nộp đơn bằng một email liên kết với các hacker Triều Tiên.
Hơn nữa, cuộc điều tra thu thập thông tin tình báo mã nguồn mở (OSINT) đã phát hiện sự tham gia của ứng viên trong một mạng lưới danh tính giả.
“Điều này có nghĩa là đội ngũ của chúng tôi đã phát hiện một hoạt động hack nơi một cá nhân đã thiết lập nhiều danh tính để nộp đơn cho các vị trí trong lĩnh vực tiền điện tử và hơn thế nữa. Một số tên đã từng được nhiều công ty tuyển dụng, khi đội ngũ của chúng tôi xác định các địa chỉ email liên quan đến công việc liên kết với họ. Một danh tính trong mạng lưới này cũng là một đặc vụ nước ngoài được biết đến trong danh sách trừng phạt,” bài blog viết.
Thêm vào đó, các điểm không nhất quán kỹ thuật trong thiết lập của họ, như sử dụng máy tính Mac từ xa, được truy cập qua VPN và ID bị thay đổi, chỉ ra một nỗ lực xâm nhập. Thông tin này xác nhận rằng ứng viên có khả năng là một hacker được nhà nước tài trợ.
Trong một buổi phỏng vấn cuối cùng với ứng viên, Giám đốc An ninh của Kraken, Nick Percoco, và một số thành viên trong đội đã xác nhận nghi ngờ của công ty. Việc ứng viên không thể xác minh vị trí của mình hoặc trả lời các câu hỏi về thành phố và quốc tịch đã tiết lộ họ là kẻ giả mạo.
“Công việc của họ là bắt đầu làm việc để đánh cắp tài sản trí tuệ, đánh cắp tiền từ các công ty đó, nhận lương và thực hiện điều đó trên diện rộng,” Percoco nói với CBS về các hacker.
FinCEN đề xuất cấm Huione Group vì liên hệ với Triều Tiên
Trong khi đó, trong một diễn biến khác, Mạng lưới Thực thi Tội phạm Tài chính Hoa Kỳ (FinCEN) đã đề xuất cấm Huione Group có trụ sở tại Campuchia khỏi hệ thống tài chính Hoa Kỳ. Bộ phận này đã xác định Huione là một nhà tạo điều kiện chính cho các nhóm hacker Triều Tiên, bao gồm những nhóm tham gia vào các vụ cướp mạng và lừa đảo tiền điện tử “mổ lợn”.
“Huione Group đã tự thiết lập mình như một thị trường được lựa chọn cho các tác nhân mạng độc hại như DPRK và các tổ chức tội phạm, những người đã đánh cắp hàng tỷ USD từ người dân Mỹ,” Bộ trưởng Tài chính Scott Bessent cho biết.
FinCEN cáo buộc nhóm này đã rửa hơn 4 tỷ USD tiền bất hợp pháp từ tháng 08/2021 đến tháng 01/2025. Theo bộ phận này, mạng lưới của Huione, bao gồm Huione Pay, Huione Crypto và Haowang Guarantee, là một thị trường ưa thích cho tội phạm tiền điện tử, cung cấp các dịch vụ như xử lý thanh toán và một thị trường trực tuyến bất hợp pháp.
“Hành động đề xuất hôm nay sẽ cắt đứt quyền truy cập của Huione Group vào ngân hàng đại lý, làm suy yếu khả năng của các nhóm này trong việc rửa tiền bất chính của họ. Bộ Tài chính cam kết phá vỡ bất kỳ nỗ lực nào của các tác nhân mạng độc hại nhằm đảm bảo doanh thu từ hoặc cho các kế hoạch tội phạm của họ,” Bessent nói thêm.
Những sự việc này đã làm nổi bật một mô hình tấn công mạng của Triều Tiên vào lĩnh vực tiền điện tử. Trong năm 2024, các hacker đã đánh cắp hơn 659 triệu USD từ các công ty tiền điện tử.
Theo một tuyên bố chung từ Hoa Kỳ, Nhật Bản và Hàn Quốc, các hacker Triều Tiên đã nhắm mục tiêu vào ngành công nghiệp này bằng cách sử dụng các chiến thuật như kỹ thuật xã hội và phần mềm độc hại (ví dụ: TraderTraitor, AppleJeus). Ngoài ra, các nhân viên IT Triều Tiên đã được xác định là mối đe dọa nội bộ đối với các công ty tư nhân.
Trước đó, các báo cáo của BeInCrypto đã làm nổi bật nhóm Lazarus khét tiếng, một nhóm hacker được nhà nước Triều Tiên tài trợ có liên quan đến các vụ trộm Bybit và Upbit. Hơn nữa, các nhóm hacker từ quốc gia này cũng đứng sau vụ hack Radiant Capital và khai thác DMM Bitcoin.
Thực tế, gần đây, nhà điều tra trên chuỗi ZachXBT đã phát hiện sự tham gia đáng kể của Triều Tiên trong các giao thức tài chính phi tập trung (DeFi), với một số trong số đó dựa vào gần 100% khối lượng/phí hàng tháng của họ từ Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK).
Tất cả thông tin có trên trang web của chúng tôi được xuất bản với thiện chí và chỉ dành cho mục đích thông tin chung. Bất kỳ hành động nào người đọc thực hiện đối với thông tin được tìm thấy trên trang web của chúng tôi, họ cần phải đánh giá lại và hoàn toàn chịu rủi ro từ quyết định của chính họ.
