Kraken, sàn giao dịch tiền điện tử nổi tiếng, đã phát hiện một nỗ lực xâm nhập tinh vi của hacker Triều Tiên giả làm người tìm việc.
Nhóm an ninh và tuyển dụng đã tiếp tục quá trình tuyển dụng ứng viên với mục đích nghiên cứu chiến lược của họ và thu thập những thông tin chi tiết quan trọng.
Hacker Triều Tiên, nỗ lực xâm nhập Kraken
Kraken đã mô tả chi tiết sự việc trong một bài đăng trên blog gần đây vào ngày 1 tháng 5. Hacker đã ứng tuyển vào vị trí kỹ sư của sàn giao dịch, ban đầu trông như một ứng viên hợp pháp có tên Steven Smith. Tuy nhiên, nhiều dấu hiệu cảnh báo đã xuất hiện trong quá trình tuyển dụng.
"Quá trình tuyển dụng thông thường cho vị trí kỹ sư nhanh chóng chuyển thành một hoạt động thu thập thông tin. Nhóm của chúng tôi đã thận trọng tiếp tục với ứng viên để hiểu rõ hơn về chiến thuật của họ ở mọi giai đoạn của quá trình tuyển dụng," Kraken cho biết.
Ứng viên đã sử dụng tên khác trong cuộc phỏng vấn và liên tục thay đổi giọng nói, ngụ ý việc được hướng dẫn. Họ đã ứng tuyển bằng email được kết nối với hacker Triều Tiên.
Hơn nữa, cuộc điều tra thông tin nguồn mở (OSINT) đã tiết lộ rằng ứng viên đang tham gia vào một mạng lưới danh tính giả.
"Điều này có nghĩa là nhóm chúng tôi đã phát hiện ra một hoạt động hack trong đó một cá nhân đã thiết lập nhiều danh tính để ứng tuyển các vị trí trong lĩnh vực tiền điện tử và các lĩnh vực khác. Nhiều tên đã được thuê bởi các công ty khác nhau, và nhóm chúng tôi đã xác nhận các địa chỉ email liên quan đến công việc được liên kết với họ. Một trong những danh tính trong mạng lưới này cũng được biết đến là một đặc vụ nước ngoài nằm trong danh sách trừng phạt," được ghi trong blog.
Ngoài ra, những sự không nhất quán về kỹ thuật như máy tính để bàn Mac được đặt từ xa, truy cập qua VPN từ xa cũng cho thấy nỗ lực xâm nhập. Thông tin này đã xác nhận khả năng cao ứng viên là hacker được hỗ trợ bởi quốc gia.
Trong cuộc phỏng vấn cuối cùng, giám đốc an ninh cao cấp của Kraken Nick Percoco và một số thành viên trong nhóm đã xác nhận sự nghi ngờ của công ty. Việc ứng viên không thể xác nhận vị trí của mình hoặc trả lời các câu hỏi về thành phố và quốc tịch đã tiết lộ rằng họ là kẻ lừa đảo.
"Công việc của họ là đánh cắp tài sản trí tuệ, đánh cắp tiền từ công ty, nhận lương và thực hiện điều đó một cách rộng rãi," Percoco nói về những hacker này với CBS.
FinCEN đề xuất cấm Nhóm Huione... liên quan đến Triều Tiên
Trong một diễn biến khác, Mạng lưới thực thi tội phạm tài chính (FinCEN) của Hoa Kỳ đã đề xuất cấm nhóm Huione có trụ sở tại Campuchia khỏi hệ thống tài chính Hoa Kỳ. Bộ phận này đã xác định Huione là nhà tạo điều kiện chính cho các nhóm hacker Triều Tiên liên quan đến tội phạm mạng và các vụ lừa đảo tiền điện tử "giết lợn".
"Nhóm Huione đã trở thành thị trường lựa chọn cho các đối tượng mạng độc hại và tổ chức tội phạm như DPRK. Họ đã đánh cắp hàng tỷ đô la từ những người Mỹ bình thường," Bộ trưởng Tài chính Scott Buesent cho biết.
FinCEN đã buộc tội nhóm này về việc rửa hơn 4 tỷ đô la tiền bất hợp pháp từ tháng 8 năm 2021 đến tháng 1 năm 2025. Theo bộ phận này, mạng lưới của Huione bao gồm Huione Pay, Huione Crypto, Haowan Guarantee là thị trường ưa thích của các tội phạm tiền điện tử, cung cấp các dịch vụ như xử lý thanh toán và thị trường trực tuyến bất hợp pháp.
"Các biện pháp được đề xuất hôm nay sẽ ngăn chặn quyền truy cập ngân hàng đối ứng của Nhóm Huione, làm suy yếu khả năng rửa tiền bất hợp pháp của nhóm này. Bộ Tài chính cam kết ngăn chặn những kẻ hoạt động mạng độc hại trong việc kiếm lợi nhuận từ các kế hoạch tội phạm của họ," Buesent nói thêm.
Những sự việc này đã nhấn mạnh các mô hình tấn công mạng của Triều Tiên vào lĩnh vực tiền điện tử. Vào năm 2024, các hacker đã đánh cắp 659 triệu đô la từ các công ty tiền điện tử.
Theo tuyên bố chung của Hoa Kỳ, Nhật Bản và Hàn Quốc, các hacker Triều Tiên đã nhắm mục tiêu vào ngành bằng các chiến thuật như kỹ thuật xã hội và phần mềm độc hại (như TraderTraitor, AppleJeus). Ngoài ra, các nhân viên CNTT của Triều Tiên đã được xác định là mối đe dọa nội bộ đối với các công ty khu vực tư nhân.
Các báo cáo trước đây của BeInCrypto đã nêu bật sự liên quan của Nhóm Lazarus, một nhóm hack được hỗ trợ bởi quốc gia Triều Tiên, trong các vụ trộm tại Bybit và Upbit. Ngoài ra, các nhóm hacker của quốc gia này cũng đã liên quan đến việc hack Radiant Capital và khai thác DMM Bitcoin.
Thực tế, nhà điều tra chuỗi trực tuyến ZachXBT gần đây đã tiết lộ sự tham gia đáng kể của Triều Tiên trong các giao thức DeFi. Một số trong số đó phụ thuộc gần như 100% vào khối lượng/phí giao dịch hàng tháng từ CHDCND Triều Tiên (DPRK).
