Cara Mengidentifikasi Hacker Korea Utara yang Mencoba Melamar Kerja

• Bursa kripto Kraken baru-baru ini mendeteksi lebih awal dan menganalisis upaya infiltrasi oleh hacker Korea Utara melalui proses lamaran kerja
• Pelamar mencoba menyusup dengan menggunakan banyak identitas, kombinasi VPN dan remote desktop, serta identitas yang dicuri
• Tim keamanan sengaja membiarkannya terus mengikuti proses rekrutmen untuk melakukan deteksi dan pengumpulan intelijen
• Melalui email, akun GitHub, dan analisis OSINT, mereka membuktikan keterkaitannya dengan grup peretas Korea Utara
• Insiden ini menekankan pentingnya autentikasi biometrik dan verifikasi real-time, sekaligus perlunya kesadaran keamanan di seluruh organisasi

Ringkasan insiden

• Tim keamanan dan TI Kraken secara rutin memblokir berbagai upaya serangan
• Baru-baru ini mereka mendeteksi dan merespons upaya infiltrasi hacker Korea Utara yang memanfaatkan proses perekrutan
• Pelamar tersebut melamar posisi engineer, dan proses rekrutmen biasa pun diubah menjadi operasi pengumpulan intelijen
• Hacker Korea Utara diperkirakan mencuri lebih dari 650 juta dolar AS dari perusahaan kripto pada tahun 2024

Tanda-tanda yang mencurigakan

• Nama pelamar masuk ke wawancara online dengan nama yang berbeda dari yang tertera di resume, lalu diubah di tengah jalan
• Selama wawancara, terdeteksi kemungkinan adanya coaching real-time, termasuk perubahan suara
• Kraken menerima informasi bahwa hacker Korea Utara aktif melamar ke perusahaan kripto, dan pelamar ini mendaftar menggunakan alamat yang sama dengan salah satu daftar email hacker Korea Utara yang telah diperoleh sebelumnya

Investigasi internal dan temuan

• Red Team melakukan analisis OSINT untuk menyelidiki email penyerang dan riwayat aktivitasnya
• Dengan menganalisis catatan kebocoran data, mereka mengonfirmasi email yang terkait dengan banyak identitas palsu
• Sejumlah identitas palsu tersebut juga telah diterima bekerja di perusahaan lain, dan sebagian terkait agen asing yang dikenai sanksi

Anomali teknis

• Kandidat menyembunyikan lokasi dengan menggabungkan VPN dan remote Mac desktop
• Email yang terhubung ke akun GitHub cocok dengan data yang pernah bocor sebelumnya
• Identitas yang diajukan diduga telah dimanipulasi berdasarkan informasi yang dicuri dua tahun lalu

Cara organisasi merespons

• Alih-alih langsung menolak pelamar, Kraken sengaja membiarkannya terus mengikuti proses perekrutan
• Mereka berfokus memahami taktik pelaku lewat tes keamanan, tugas teknis, dan permintaan verifikasi
• Wawancara terakhir dilakukan bersama Chief Security Officer (CSO) Kraken, dengan pertanyaan verifikasi real-time yang disisipkan

Contoh pertanyaan verifikasi real-time

• Permintaan autentikasi lokasi saat ini
• Permintaan untuk menunjukkan identitas fisik yang diterbitkan pemerintah
• Pertanyaan spontan seperti meminta rekomendasi restoran di kota tempat tinggalnya
• Pada akhirnya, pelamar gagal lolos verifikasi

Pernyataan CSO Nick Percoco

• Prinsip “jangan percaya, verifikasi” menjadi semakin penting saat ini
• Setiap orang dan perusahaan yang menangani sesuatu yang bernilai bisa menjadi target serangan
• Kepekaan keamanan di tingkat organisasi dan strategi respons proaktif adalah kuncinya

Pelajaran utama

• Penyerang mencoba masuk lewat pintu depan: selain infiltrasi teknis, ada juga pendekatan sosial
• Verifikasi real-time adalah senjata yang kuat: meski bisa menipu dengan AI generatif, verifikasi nyata tetap sulit ditembus
• Keamanan bukan hanya urusan TI: seluruh organisasi, termasuk tim rekrutmen, harus memiliki naluri keamanan

Saat menerima lamaran yang mencurigakan, ingatlah: ancaman terbesar sering datang dengan menyamar sebagai peluang