Varo! Pohjois-Korean IT-työntekijät hyödyntävät etätyötä soluttautuakseen maailmanlaajuisiin organisaatioihin
Pohjois-Korean kybertunkeutumisen uhka ei ole enää vain Yhdysvaltojen huolenaihe – se on nyt maailmanlaajuinen kriisi. Googlen Threat Intelligence Groupin (GTIG) uusien havaintojen mukaan Korean demokraattisen kansantasavallan (Korean demokraattisen kansantasavallan) työntekijät laajentavat kyberjalanjälkeään kaikkialla Euroopassa ja sen ulkopuolella hyödyntäen etätyöympäristöjä, vääriä henkilöllisyyksiä ja yhä aggressiivisempia taktiikoita, kuten kiristystä. Peiteoperaatiosta alkanut toiminta on kehittynyt laajaksi kansainväliseksi verkostoksi, joka on suunniteltu siirtämään rahaa ja tietoa tutkan alle.
Sisällysluettelo
Globaalin työvoiman hiljainen hyökkäys
Pohjois-Korean IT-ammattilaiset hyödyntävät etätekniikan työntekijöiden maailmanlaajuista kysyntää. Esiintyessään ammattitaitoisina freelancerina sellaisista maista kuin Japani, Malesia, Ukraina, Vietnam ja jopa Yhdysvallat, nämä henkilöt ovat saaneet laillisia sopimuksia Upworkin, Freelancerin ja Telegramin kaltaisten alustojen kautta.
Sisään päästyään he voivat käyttää herkkiä järjestelmiä ja joskus jopa käsitellä kriittistä infrastruktuuria, kuten sisällönhallintajärjestelmiä (CMS), verkkobotteja ja lohkoketjusovelluksia. Nämä työntekijät toimivat usein useiden identiteettien alla – joskus jopa tusina per henkilö – ja jokainen henkilö toimii referenssinä muille. Yhdessä tapauksessa yksi Korean demokraattinen kansantasavallassa oleva työntekijä hallitsi 12:ta erillistä identiteettiä Yhdysvalloissa ja Euroopassa, joista jokainen oli räätälöity työnantajien ja rekrytointialustojen huijaamiseen.
Eurooppa ristissä
Vaikka Yhdysvallat on edelleen ensisijainen kohde, lisääntyvä oikeudellinen valvonta ja tehostetut työoikeuden varmistustoimenpiteet saavat Pohjois-Korean toimijat laajentumaan syvemmälle Euroopan markkinoille. Saksa, Portugali ja Yhdistynyt kuningaskunta ovat kaikki raportoineet soluttautumistapauksista, ja jotkut työntekijät ovat osallistuneet tekoälykehitys- ja lohkoketjuintegraatioprojekteihin – aloilla, jotka usein myöntävät laajan pääsyn järjestelmään ja käsittelevät omaa tai arkaluonteista koodipohjaa.
Isossa-Britanniassa tunkeutujia on jopa liitetty yritysten infrastruktuurin väärinkäyttöön, kuten Yhdysvaltojen toimistoihin tarkoitettujen kannettavien tietokoneiden käyttämiseen Lontoosta. Näitä toimintoja tukevat usein paikalliset tai kansainväliset fasilitaattorit, jotka auttavat peittämään IT-henkilöiden identiteetin ja alkuperän. GTIG panee merkille petollisia passeja käsittelevien välittäjien yhteystietojen löytämisen, mikä korostaa kuinka hyvin resursoitu ja organisoitu järjestelmä on tullut.
Kiristyksen nousu: uusi, hälyttävä taktiikka
Lokakuun 2024 lopusta lähtien on ilmaantunut uusi riskikerros. Yhdysvaltain lainvalvontaviranomaisten tiukentuessa – häiriöt ja syytteet lisääntyvät – jotkut Pohjois-Koreaan sidoksissa olevat työntekijät turvautuvat kiristykseen varatulojen lähteenä. Taktiikka on hyytävää: lopettamisen tai havaitsemisen jälkeen työntekijät uhkaavat vuotaa arkaluontoisia tietoja, mukaan lukien lähdekoodia ja liiketoimintakriittisiä tietoja.
GTIG-tutkijat uskovat, että näihin toimijoihin kohdistuva paine pakottaa muutoksen käyttäytymisessä – salaperäisestä datavarkaudesta aggressiiviseen taloudelliseen pakotteeseen. Tämä käänne merkitsee häiritsevää eskalaatiota Pohjois-Korean lähestymistavassa kybervakoilua ja digitaalista rikollisuutta kohtaan.
Kohdistus BYOD Workplaces
Korean demokraattisen kansantasavallan strategia on myös sopeutunut etätyön todellisuuteen. GTIG raportoi, että pohjoiskorealaiset toimijat kohdistavat yhä enemmän yrityksiä Bring Your Own Device (BYOD) -käytäntöihin. Nämä organisaatiot, jotka yrittävät leikata kustannuksia jättämällä liikkeelle yritysten kannettavia tietokoneita, helpottavat tahattomasti haitallisten freelancerien toimintaa vähäisellä valvonnalla.
Tätä haavoittuvuutta pahentaa kryptovaluuttojen ja Payoneerin kaltaisten digitaalisten maksualustojen käyttö, jotka auttavat peittämään varojen alkuperän ja määränpään. Se on huolellisesti rakennettu järjestelmä, jonka tarkoituksena on hyödyntää globaalin kyberturvallisuuden heikoimpia kohtia – ihmisten luottamusta, etäkäyttöä ja hajautettuja järjestelmiä.
Maailmanlaajuinen petoksen ekosysteemi
Korean demokraattisen kansantasavallan toiminnan laajuus viittaa nopeasti kypsyvään maailmanlaajuiseen infrastruktuuriin, joka on täydennetty monitasoisilla tukiverkostoilla, väärien henkilöllisyyden välittäjillä ja maksujen pesujärjestelmillä. GTIG:n viimeisimmät havainnot osoittavat, kuinka ketteräksi ja vaarallisiksi näistä toimijoista on tullut.
"Vastauksena lisääntyneeseen tietoisuuteen uhasta Yhdysvalloissa [Korean demokraattisen kansantasavallan IT-työntekijät] ovat perustaneet maailmanlaajuisen petollisten henkilöiden ekosysteemin parantaakseen toiminnan ketteryyttä", GTIG toteaa. Heidän kykynsä siirtää toimintaansa nopeasti rajojen yli ja samalla ylläpitää vakaata tulovirtaa on vakava huolenaihe organisaatioille maailmanlaajuisesti.
Mitä organisaatiot voivat tehdä?
- Tiukenna henkilöllisyyden todentamista : Ota käyttöön tiukat, monivaiheiset vahvistusprosessit etätyöntekijöiden palkkaamiseksi.
Viimeisiä ajatuksia
Pohjois-Korean IT-tunkeutumisen maailmanlaajuinen leviäminen ei ole vain kyberturvallisuusongelma – se on kansallisen turvallisuuden ja talouden uhka. Kun heidän taktiikansa kehittyvät entistä kehittyneemmiksi, yritysten on sopeuduttava yhtä edistyneillä puolustuksilla. Freelancerien rento palkkaaminen ympäri maailmaa ilman perusteellisia taustatarkastuksia ovat ohi. Toimimattomuuden hinta voi olla kriittisimmän digitaalisen omaisuutesi varastaminen tai aseistaminen.