Пази се! Севернокорейски ИТ оператори, използващи дистанционна работа, за да проникнат в глобални организации

Заплахата от кибер проникване на Северна Корея вече не е само американска загриженост - сега това е глобална криза. Според нови констатации от Threat Intelligence Group (GTIG) на Google, агенти от Корейската народнодемократична република (КНДР) разширяват своя кибернетичен отпечатък в цяла Европа и извън нея, като използват платформи за отдалечена работа, фалшиви самоличности и все по-агресивни тактики като изнудване. Това, което започна като тайна операция, се превърна в разрастваща се международна мрежа, предназначена да източва пари и информация под радара.

Тихото нахлуване в глобалната работна сила

Севернокорейските ИТ оператори се възползват от глобалното търсене на дистанционни технологични работници. Като се представят за квалифицирани фрийлансъри от страни като Япония, Малайзия, Украйна, Виетнам и дори Съединените щати, тези лица са си осигурили законни договори чрез платформи като Upwork, Freelancer и Telegram.

Веднъж влезли вътре, те имат достъп до чувствителни системи и понякога дори боравят с критична инфраструктура като системи за управление на съдържанието (CMS), уеб ботове и блокчейн приложения. Тези оперативни служители често действат под множество самоличности - понякога до дузина на индивид - като всяка персона действа като ориентир за другите. В един случай един работник, свързан с КНДР, управляваше 12 различни самоличности в САЩ и Европа, всяка от които беше пригодена да заблуждава работодатели и платформи за наемане.

Европа на прицела

Въпреки че Съединените щати остават основна цел, нарастващият правен контрол и засилените мерки за проверка на правото на работа карат служителите на КНДР да навлизат по-дълбоко в европейските пазари. Германия, Португалия и Обединеното кралство съобщават за случаи на проникване, като някои служители участват в проекти за разработване на AI и блокчейн интеграция – области, които често предоставят широк достъп до системата и обработват частни или чувствителни кодови бази.

В Обединеното кралство проникналите дори са били свързвани със злоупотреба с корпоративна инфраструктура, като например използване на лаптопи, предназначени за американски офиси от места в Лондон. Тези операции често се поддържат от местни или международни фасилитатори, които помагат да се прикрие самоличността и произхода на ИТ операторите. GTIG отбелязва откриването на данни за контакт на брокери, занимаващи се с фалшиви паспорти, подчертавайки колко добре обезпечена с ресурси и организирана е станала схемата.

Възходът на изнудването: Нова, тревожна тактика

От края на октомври 2024 г. се появи нов слой риск. След като американските правоприлагащи органи предприемат репресии – прекъсванията и обвиненията нарастват – някои работници, свързани с КНДР, се обръщат към изнудването като резервен поток от приходи. Тактиката е смразяваща: след като бъдат прекратени или усетят откриване, операторите заплашват да изтекат чувствителни данни, включително изходен код и критична за бизнеса информация.

Изследователите на GTIG вярват, че натискът върху тези оперативни служители налага промяна в поведението - от скрита кражба на данни до агресивна финансова принуда. Този обрат бележи обезпокоителна ескалация в подхода на Северна Корея към кибершпионажа и цифровите престъпления.

Насочване към BYOD Workplaces

Стратегията на КНДР също се адаптира към реалностите на дистанционната работа. GTIG съобщава, че севернокорейските оператори все по-често се насочват към компании с правила за носене на собствено устройство (BYOD). Тези организации, опитвайки се да намалят разходите, като не издават корпоративни лаптопи, по невнимание улесняват злонамерените фрийлансъри да работят с малко надзор.

Тази уязвимост се усложнява от използването на криптовалута и платформи за цифрови плащания като Payoneer, които помагат да се прикрие произходът и местоназначението на средствата. Това е внимателно изградена система, предназначена да използва най-слабите места в защитата на глобалната киберсигурност – човешко доверие, отдалечен достъп и децентрализирани системи.

Глобална екосистема от измама

Обхватът на операциите на КНДР предполага бързо развиваща се глобална инфраструктура, пълна с многослойни мрежи за поддръжка, брокери с фалшиви самоличности и системи за пране на плащания. Последните открития на GTIG подчертават колко гъвкави и опасни са станали тези актьори.

„В отговор на повишената осведоменост за заплахата в Съединените щати, [ИТ работниците в КНДР] създадоха глобална екосистема от измамни личности, за да подобрят оперативната гъвкавост“, заявява GTIG. Способността им бързо да прехвърлят операции през граници, като същевременно поддържат стабилен поток от приходи, е сериозна загриженост за организациите по целия свят.

Какво могат да направят организациите?

1. Затегнете проверката на самоличността : Приложете строги процеси за проверка в няколко стъпки за наемане на отдалечени работници.

Последни мисли

Глобалното разрастване на севернокорейското ИТ проникване не е само проблем на киберсигурността – това е национална сигурност и икономическа заплаха. Тъй като техните тактики стават все по-сложни, компаниите трябва да се адаптират с еднакво напреднали защити. Дните на небрежно наемане на фрийлансъри от цял свят без задълбочени проверки на миналото приключиха. Цената на бездействието може да бъде кражба или поставяне на оръжие на вашите най-важни цифрови активи.