По мнению исследователей безопасности, венчурный капиталист, рекрутер из крупной компании и недавно нанятый удаленный ИТ-специалист не имеют много общего, но все они были пойманы как самозванцы, тайно работающие на северокорейский режим.
В пятницу на Cyberwarcon, ежегодной конференции в Вашингтоне, округ Колумбия, посвященной разрушительным угрозам в киберпространстве, исследователи безопасности предложили свою самую современную оценку угрозы со стороны Северной Кореи. Исследователи предупредили о постоянных попытках хакеров страны выдать себя за потенциальных сотрудников, ищущих работу в транснациональных корпорациях, с целью заработать деньги для северокорейского режима и украсть корпоративные секреты, которые принесут пользу его программе вооружений. Эти самозванцы за последнее десятилетие заработали миллиарды долларов в украденной криптовалюте для финансирования программы создания ядерного оружия в стране, уклоняясь от множества международных санкций.
Исследователь безопасности Microsoft Джеймс Эллиотт заявил в ходе выступления на Cyberwarcon, что северокорейские ИТ-специалисты уже проникли в «сотни» организаций по всему миру, создавая фальшивые личности, в то же время полагаясь на посредников из США, которые будут управлять своими рабочими станциями, выданными компанией, и получать доходы, чтобы обойти финансовые санкции, применимые к северокорейцам.
Исследователи, исследующие кибервозможности страны, видят растущую угрозу со стороны Северной Кореи сегодня как туманную массу различных хакерских групп с различной тактикой и методами, но с общей целью кражи криптовалюты. Режиму грозит небольшой риск хакерских атак — страна уже охвачена санкциями.
Одна группа северокорейских хакеров, которую Microsoft называет «Ruby Sleet», взломала аэрокосмические и оборонные компании с целью кражи отраслевых секретов, которые могли бы помочь в дальнейшем развитии ее вооружений и навигационных систем.
Microsoft подробно рассказала в своем блоге о другой группе северокорейских хакеров, которую она называет «Sapphire Sleet», которая выдавала себя за рекрутеров и венчурных капиталистов в кампаниях, направленных на кражу криптовалюты у частных лиц и компаний. После контакта со своей целью с помощью приманки или первоначального обращения северокорейские хакеры организовывали виртуальную встречу, но на самом деле встреча была рассчитана на неправильную загрузку.
В сценарии с фейковым виртуальным виртуальным компьютером злоумышленник затем вынуждает жертву загрузить вредоносное ПО, замаскированное под инструмент для исправления неработающей виртуальной встречи. В ходе кампании по фальшивому рекрутингу мошенник просил потенциального кандидата загрузить и пройти оценку навыков, которая на самом деле содержала вредоносное ПО. После установки вредоносное ПО может получить доступ к другим материалам на компьютере, включая криптовалютные кошельки. Microsoft заявила, что хакеры украли не менее 10 миллионов долларов в криптовалюте только за шесть месяцев.
Но, безусловно, самой упорной и сложной кампанией, с которой приходится бороться, являются попытки северокорейских хакеров нанять удаленных работников в крупные компании, воспользовавшись бумом удаленной работы, начавшимся во время пандемии Covid-19.
Microsoft назвала ИТ-специалистов Северной Кореи «тройной угрозой» за их способность обманным путем получить работу в крупных компаниях и зарабатывать деньги для северокорейского режима, а также похитить секреты компаний и интеллектуальную собственность, а затем вымогать у компаний угрозы раскрыть информация.
Из сотен компаний, которые случайно наняли северокорейского шпиона, лишь несколько компаний публично заявили о себе как о жертвах. Охранная компания KnowBe4 ранее в этом году заявила, что ее обманом заставили нанять северокорейского сотрудника, но компания заблокировала удаленный доступ работника, как только поняла, что его обманули, и заявила, что никакие данные компании не были взяты.
Как северокорейские ИТ-специалисты обманывают компании, заставляя их нанимать их
Типичная кампания северокорейских ИТ-специалистов создает серию онлайн-аккаунтов, таких как профиль LinkedIn и страница GitHub, чтобы установить уровень профессионального доверия. ИТ-специалист может генерировать ложные данные с помощью искусственного интеллекта, в том числе с помощью технологий подмены лиц и голоса.
После приема на работу компания отправляет новый ноутбук сотрудника на домашний адрес в Соединенных Штатах, которым, без ведома компании, управляет координатор, которому поручено создать фермы ноутбуков, выпущенных компанией. Координатор также устанавливает на ноутбуки программное обеспечение удаленного доступа, позволяющее северокорейским шпионам на другом конце света удаленно входить в систему, не раскрывая своего истинного местонахождения.
Microsoft заявила, что она также заметила, что шпионы страны действуют не только из Северной Кореи, но также из России и Китая, двух близких союзников отколовшейся страны, что затрудняет компаниям выявление подозреваемых северокорейских шпионов в своих сетях.
Эллиотт из Microsoft сказал, что компании повезло, когда она случайно получила общедоступный репозиторий, принадлежащий северокорейскому ИТ-работнику, содержащий электронные таблицы и документы, которые подробно разобрали кампанию, включая досье с ложными личностями и резюме, которые северокорейские ИТ-специалисты которые мы использовали, чтобы получить работу, и сумму денег, заработанную во время операции. Эллиотт описал репозитории как «полные инструкции», позволяющие хакерам осуществить кражу личных данных.
Северные корейцы также будут использовать уловки, которые могут разоблачить их как фейков, например, немедленно проверять свои вымышленные учетные записи LinkedIn, как только они получат адрес электронной почты компании, чтобы придать этим учетным записям большее ощущение легитимности.
Это был не единственный пример небрежности хакеров, приведенный исследователями, который помог раскрыть истинную природу их операций.
Хой Мён и исследователь, известный под ником SttyK, рассказали, что они выявляли подозреваемых северокорейских ИТ-работников отчасти благодаря тому, что связывались с ними, чтобы выявить дыры в их вымышленных личностях, которые не всегда тщательно конструируются.
В своем выступлении на Cyberwarcon Мьонг и SttyK рассказали, что разговаривали с одним подозреваемым северокорейским ИТ-работником, который утверждал, что он японец, но допускал лингвистические ошибки в своих сообщениях, например, использовал слова или фразы, которые изначально не существуют в японском языке. У ИТ-сотрудника были и другие недостатки, например, он утверждал, что владеет банковским счетом в Китае, но имел IP-адрес, по которому человек находился в России.
В последние годы правительство США уже ввело санкции против организаций, связанных с Северной Кореей, в ответ на схему ИТ-специалистов. ФБР также предупредило, что злоумышленники часто используют изображения, созданные искусственным интеллектом, или «дипфейки», часто полученные из украденных личных данных, чтобы получить работу в сфере технологий. В 2024 году прокуратура США выдвинула обвинения нескольким лицам в управлении фермами по производству ноутбуков, что способствует обходу санкций.
Но компании также должны лучше проверять своих потенциальных сотрудников, считают исследователи.
«Они не уйдут», сказал Эллиотт. «Они пробудут здесь надолго».
