Comment Kraken a identifié un hacker nord-coréen qui tentait de se faire embaucher

 (blog.kraken.com)
7 points par GN⁺ 2025-05-03 | 3 commentaires | Partager sur WhatsApp
  • La plateforme d’échange de cryptomonnaies Kraken a récemment détecté et analysé en amont une tentative d’infiltration menée par un hacker nord-coréen via une candidature d’emploi
  • Le candidat a tenté l’intrusion en utilisant plusieurs identités, une combinaison de VPN et de bureau à distance, ainsi qu’une pièce d’identité usurpée
  • L’équipe sécurité l’a volontairement laissé poursuivre le processus de recrutement afin de mener des opérations de détection et de collecte de renseignements
  • Des e-mails, comptes GitHub et analyses OSINT ont permis d’établir des liens avec un groupe de hackers nord-coréen
  • Cette affaire souligne l’importance de la biométrie et de la vérification en temps réel, ainsi que la nécessité d’une culture de sécurité à l’échelle de toute l’organisation

Aperçu de l’incident

  • Les équipes sécurité et IT de Kraken bloquent au quotidien diverses tentatives d’attaque
  • Elles ont récemment détecté et contré une tentative d’intrusion d’un hacker nord-coréen exploitant le processus de recrutement
  • Le candidat a postulé à un poste d’ingénieur, et ce qui n’était au départ qu’un simple recrutement s’est transformé en opération de collecte d’informations
  • Les hackers nord-coréens sont soupçonnés d’avoir volé plus de 650 millions de dollars à des entreprises de cryptomonnaies en 2024

Éléments suspects

  • Le nom affiché lors de l’entretien en ligne ne correspondait pas à celui du CV, puis a été modifié en cours d’entretien
  • Un changement de voix pendant l’entretien a laissé penser à un possible coaching en temps réel
  • Kraken avait reçu des informations selon lesquelles des hackers nord-coréens candidataient activement auprès d’entreprises crypto, et la candidature utilisait une adresse figurant dans une liste d’e-mails de hackers nord-coréens obtenue à l’avance

Enquête interne et découvertes

  • La Red Team a mené une analyse OSINT pour examiner l’e-mail de l’attaquant et son historique d’activité
  • L’analyse de données issues de fuites a permis d’identifier plusieurs e-mails liés à de fausses identités
  • Plusieurs de ces fausses identités avaient également été embauchées par d’autres entreprises, certaines étant des agents étrangers sous sanctions

Anomalies techniques

  • Le candidat combinait un VPN et un bureau Mac distant pour masquer sa localisation
  • L’e-mail associé au compte GitHub correspondait à des données déjà divulguées par le passé
  • La pièce d’identité fournie est soupçonnée d’avoir été falsifiée à partir d’informations volées il y a deux ans

Réponse de l’organisation

  • Au lieu d’écarter le candidat, Kraken l’a volontairement laissé continuer le processus de recrutement
  • L’entreprise s’est concentrée sur l’identification de ses tactiques via des tests de sécurité, exercices techniques et demandes de vérification
  • Le dernier entretien a été mené avec le directeur de la sécurité (CSO) de Kraken, avec insertion de questions de vérification en temps réel

Exemples de questions de vérification en temps réel

  • Demande de preuve de la localisation actuelle
  • Demande de présentation physique d’une pièce d’identité officielle
  • Insertion en direct de questions improvisées, comme recommander un restaurant dans sa ville de résidence
  • Au final, le candidat n’a pas réussi à passer la vérification

Déclaration du CSO Nick Percoco

  • Le principe « Ne faites pas confiance, vérifiez » est aujourd’hui plus important que jamais
  • Toute personne ou entreprise qui manipule quelque chose de valeur peut devenir une cible
  • La vigilance de sécurité à l’échelle de l’organisation et une stratégie de réponse anticipée sont essentielles

Enseignements clés

  • Les attaquants essaient d’entrer par la porte d’entrée : au-delà des intrusions techniques, il existe aussi des approches sociales
  • La vérification en temps réel est une arme puissante : même si l’on peut tromper avec l’IA générative, une vraie vérification reste difficile à contourner
  • La sécurité n’est pas seulement un sujet IT : toute l’organisation, y compris l’équipe recrutement, doit développer les bons réflexes

À retenir face à une candidature suspecte : la plus grande menace se présente souvent comme une opportunité

À lire aussi

3 commentaires

 
ahwjdekf 2025-05-04

Pouvez-vous dire à voix haute « Kim Jong-un, espèce d'enfoiré » ? Je vous laisse 5 secondes.
 
cnaa97 2025-05-03

Fléau social
 
GN⁺ 2025-05-03
Commentaire Hacker News

  • Ils affirment avoir utilisé des techniques d’"OSINT" via des questions de base et une enquête préliminaire

    • Cela donne l’impression que l’industrie de la sécurité manque de procédures de sécurité élémentaires lors du recrutement
    • Il est problématique que des personnes talentueuses au chômage ne trouvent pas d’emploi tandis que de faux profils se font embaucher

  • L’idée que le recrutement à distance constitue une grande faiblesse

    • Il y a eu un cas où un excellent ingénieur avait été embauché, mais le travail réel était confié à des travailleurs à distance au Pakistan et en Inde
    • Le travail à distance a beaucoup d’avantages, mais aussi d’importants problèmes de sécurité

  • Article intéressant, mais dire qu’ils ont enquêté avec des méthodes OSINT revient simplement à dire qu’ils ont fait une recherche Google

  • L’article ne dit nulle part que cette personne était nord-coréenne

    • Une adresse e-mail exposée lors d’une ancienne fuite de données était liée à un profil GitHub
    • Ce n’est pas un indicateur particulièrement spécial

  • Avant l’entretien, ils avaient reçu l’information que des hackers nord-coréens postulaient activement auprès d’entreprises crypto

    • Ils avaient reçu une liste d’e-mails liés à un groupe de hackers, et l’un d’eux correspondait au candidat
    • Ce seul signal d’alerte aurait dû suffire à invalider immédiatement la candidature

  • Déclaration du CSO Nick Percoco

    • Le principe "ne pas faire confiance, mais vérifier" est encore plus important à l’ère numérique
    • Les attaques soutenues par des États sont une menace mondiale, et la résilience commence par la préparation à ce type d’attaques
    • C’est amusant d’entendre cela de la part du CSO d’une entreprise crypto

  • En 2024, ils ont mené beaucoup d’entretiens pour recruter à distance des ingénieurs frontend et backend

    • Il y avait beaucoup de candidats avec des noms européens, et ils étaient tous asiatiques
    • Ils prétendaient venir de Suède, de Finlande ou de Norvège, mais avaient un fort accent asiatique
    • La situation semblait suspecte, donc l’entretien a été interrompu

  • Dans un ancien fil Reddit, quelqu’un avait recommandé la question : "À quel point Kim Jong-un est-il gros ?"

  • Cette histoire est ennuyeuse

    • Qu’on me prévienne quand ils participeront à une opération de long terme consistant à installer un implant sur leurs machines hôtes, puis à rebondir vers les appareils d’autres attaquants, ou à les attirer vers un pays d’où une extradition vers les États-Unis est possible

  • Ils savaient déjà que le nom, l’e-mail et le GitHub du candidat figuraient dans une fuite passée

    • Je ne comprends pas l’intérêt de poursuivre l’entretien pour obtenir plus d’informations
    • Leur demander directement d’expliquer les incohérences aurait probablement été aussi utile qu’un dernier entretien