Die US-Kryptobörse Kraken hat einen nordkoreanischen Hacker identifiziert, der versuchte, durch einen gefälschten Bewerbungsprozess in das Unternehmen einzudringen. Der Vorfall zeigt eine wachsende Bedrohung für Krypto-Unternehmen durch staatlich unterstützte Angriffe aus Nordkorea.
- Verdächtige Aktivitäten bereits zu Beginn des Bewerbungsprozesses
- Krakens Sicherheitsteam sammelte Beweise statt sofortiger Ablehnung
- Nordkorea verstärkt Cyber-Angriffe auf Krypto-Firmen
Kraken CSO @c7five recently spoke to @CBSNews about how a North Korean operative unsuccessfully attempted to get a job at Kraken.
— Kraken Exchange (@krakenfx) May 1, 2025
Don’t trust. Verify 👇 pic.twitter.com/1vVo3perH2
Die US-amerikanische Kryptobörse Kraken hat in einem Blogbeitrag vom 1. Mai detailliert beschrieben, wie das Unternehmen einen nordkoreanischen Hacker identifizierte, der versuchte, durch einen Bewerbungsprozess ins Unternehmen einzudringen. Was als routinemäßiges Einstellungsverfahren für eine Ingenieursstelle begann, entwickelte sich schnell zu einer Geheimdienstoperation, die tiefe Einblicke in die Taktiken staatlich unterstützter Hacker gewährte.
Verdächtige Signale im Bewerbungsprozess
Die ersten Warnsignale zeigten sich früh, als der Bewerber unter einem anderen Namen zum Interview erschien als dem, mit dem er sich beworben hatte. Zudem wechselte er „gelegentlich zwischen verschiedenen Stimmen“ – ein Hinweis darauf, dass er während des Gesprächs angeleitet wurde. Statt den Kandidaten sofort abzulehnen, entschied sich Kraken, ihn weiter durch den Einstellungsprozess zu führen, um Informationen über die verwendeten Taktiken zu sammeln.
„Wir erhielten eine Liste von E-Mail-Adressen, die mit der Hackergruppe in Verbindung stehen, und eine davon stimmte mit der E-Mail überein, die der Kandidat für seine Bewerbung bei Kraken verwendet hatte“, erklärte das Unternehmen. Mit diesen Informationen deckte das Sicherheitsteam der Börse ein Netzwerk gefälschter Identitäten auf, die der Hacker nutzte, um sich bei mehreren Unternehmen zu bewerben.
Technische Unstimmigkeiten enthüllten die Täuschung
Bei der Untersuchung entdeckte Kraken weitere verdächtige Elemente: Der Bewerber nutzte Remote-Mac-Desktops über VPNs und manipulierte Ausweisdokumente. Sein Lebenslauf war mit einem GitHub-Profil verknüpft, das eine E-Mail-Adresse enthielt, die bei einem früheren Datenleck kompromittiert worden war. Zudem schien „der Hauptausweis des Kandidaten verändert worden zu sein, vermutlich mit Daten, die bei einem Identitätsdiebstahl zwei Jahre zuvor gestohlen wurden.“
In den abschließenden Gesprächen führte Krakens Chief Security Officer Nick Percoco gezielte Identitätsüberprüfungstests durch, die der Kandidat nicht bestand, was die Täuschung bestätigte. „Vertraue nicht, verifiziere. Dieses Kernprinzip der Kryptowelt ist im digitalen Zeitalter relevanter denn je“, betonte Percoco. „Staatlich geförderte Angriffe sind nicht nur ein Problem für Krypto- oder US-Unternehmen – sie sind eine globale Bedrohung.“
Nordkoreas massive Krypto-Diebstähle
Die nordkoreanisch verbündete Hackergruppe Lazarus war für den 1,4-Milliarden-Dollar-Hack der Bybit-Börse im Februar verantwortlich – den größten in der Geschichte der Kryptoindustrie. Internationale Sanktionen haben Nordkorea effektiv vom Rest der Welt abgeschnitten, und die herrschende Kim-Dynastie zielt seit langem auf Kryptounternehmen ab, um die Staatskasse aufzufüllen.
Mit Nordkorea in Verbindung stehende Hacker haben laut einer gemeinsamen Erklärung der USA, Japans und Südkoreas vom Januar 2024 mehr als 650 Millionen Dollar durch mehrere Krypto-Diebstähle erbeutet. Zudem setzen sie IT-Mitarbeiter ein, um als Insider in Blockchain- und Kryptounternehmen einzudringen.
Im April wurde entdeckt, dass eine Untergruppe von Lazarus drei Scheinfirmen gegründet hatte – zwei davon in den USA – um Malware an ahnungslose Nutzer zu liefern und Krypto-Entwickler zu betrügen. Der jüngste Vorfall bei Kraken unterstreicht die Notwendigkeit für verschärfte Sicherheitsmaßnahmen in der gesamten Kryptoindustrie.
