Cách Kraken nhận diện hacker Triều Tiên giả làm ứng viên xin việc

• Sàn giao dịch tiền mã hóa Kraken gần đây đã chủ động phát hiện và phân tích một nỗ lực xâm nhập của hacker Triều Tiên thông qua việc xin việc
• Ứng viên đã tìm cách xâm nhập bằng nhiều danh tính, kết hợp VPN và desktop từ xa, cùng giấy tờ tùy thân bị đánh cắp
• Đội ngũ bảo mật cố ý để người này tiếp tục tham gia quy trình tuyển dụng để thực hiện phát hiện và thu thập thông tin
• Thông qua email, tài khoản GitHub, phân tích OSINT, họ đã chứng minh được mối liên hệ với các nhóm hacker Triều Tiên
• Vụ việc này nhấn mạnh tầm quan trọng của xác thực sinh trắc học và kiểm tra theo thời gian thực, đồng thời cho thấy sự cần thiết của nhận thức bảo mật trên toàn tổ chức

Tổng quan sự việc

• Đội ngũ bảo mật và IT của Kraken thường xuyên ngăn chặn nhiều kiểu tấn công khác nhau
• Gần đây họ đã phát hiện và ứng phó với một nỗ lực xâm nhập của hacker Triều Tiên lợi dụng quy trình tuyển dụng
• Ứng viên này nộp đơn cho vị trí kỹ sư, và quy trình tuyển dụng thông thường đã được chuyển thành một chiến dịch thu thập thông tin
• Ước tính trong năm 2024, các hacker Triều Tiên đã đánh cắp hơn 650 triệu USD từ các công ty tiền mã hóa

Dấu hiệu đáng ngờ

• Tên của ứng viên bị đổi giữa chừng sau khi vào phỏng vấn online bằng một tên khác với tên trong CV
• Trong lúc phỏng vấn, giọng nói thay đổi, cho thấy khả năng đang được huấn luyện thời gian thực
• Kraken đã nhận được thông tin rằng hacker Triều Tiên đang tích cực nộp đơn vào các công ty tiền mã hóa, và ứng viên này đã nộp đơn bằng đúng một địa chỉ trong danh sách email hacker Triều Tiên mà họ có từ trước

Điều tra nội bộ và phát hiện

• Red Team đã dùng phân tích OSINT để điều tra email và lịch sử hoạt động của kẻ tấn công
• Phân tích hồ sơ rò rỉ dữ liệu cho thấy nhiều email liên quan tới các danh tính giả khác nhau
• Nhiều danh tính giả trong số đó đã được tuyển vào các công ty khác, và một số thuộc diện đặc vụ nước ngoài bị trừng phạt

Dấu hiệu bất thường về mặt kỹ thuật

• Ứng viên che giấu vị trí bằng cách kết hợp VPN với desktop Mac từ xa
• Email liên kết với tài khoản GitHub trùng khớp với dữ liệu từng bị rò rỉ trước đây
• Giấy tờ tùy thân được nộp bị nghi đã bị chỉnh sửa dựa trên thông tin bị đánh cắp từ 2 năm trước

Cách tổ chức ứng phó

• Thay vì loại ứng viên, Kraken cố ý để người này tiếp tục tham gia quy trình tuyển dụng
• Họ tập trung nắm bắt chiến thuật thông qua kiểm tra bảo mật, bài tập kỹ thuật và các yêu cầu xác minh
• Vòng phỏng vấn cuối được thực hiện cùng Giám đốc An ninh Thông tin (CSO) của Kraken, với các câu hỏi xác minh theo thời gian thực được cài vào

Ví dụ về câu hỏi xác minh theo thời gian thực

• Yêu cầu xác nhận vị trí hiện tại
• Yêu cầu cho xem giấy tờ tùy thân do chính phủ cấp bản gốc
• Chèn các câu hỏi ngẫu hứng theo thời gian thực như yêu cầu gợi ý nhà hàng ở thành phố đang cư trú
• Kết quả là ứng viên đã không vượt qua được bước xác minh

Phát biểu của CSO Nick Percoco

• Nguyên tắc “đừng tin, hãy xác minh” ngày nay càng trở nên quan trọng hơn
• Mọi cá nhân và doanh nghiệp đang xử lý thứ gì đó có giá trị đều có thể trở thành mục tiêu tấn công
• Nhận thức bảo mật ở cấp độ tổ chức và chiến lược ứng phó chủ động là yếu tố cốt lõi

Bài học chính

• Kẻ tấn công đang cố đi vào bằng cửa chính: ngoài xâm nhập kỹ thuật còn có cả cách tiếp cận mang tính xã hội
• Xác minh theo thời gian thực là vũ khí mạnh: có thể đánh lừa bằng AI tạo sinh, nhưng khó vượt qua xác minh thật
• Bảo mật không chỉ là việc của IT: toàn bộ tổ chức, bao gồm cả đội tuyển dụng, đều cần có cảm quan bảo mật

Hãy nhớ khi nhận được một hồ sơ ứng tuyển đáng ngờ: mối đe dọa lớn nhất thường ngụy trang thành cơ hội