לְהִזָהֵר! מפעילי IT צפון קוריאנים מנצלים עבודה מרחוק כדי לחדור לארגונים גלובליים
האיום של חדירת סייבר צפון קוריאנית הוא כבר לא רק דאגה אמריקאית - זה עכשיו משבר עולמי. על פי ממצאים חדשים מקבוצת האיומים של גוגל (GTIG), פעילים מהרפובליקה העממית הדמוקרטית של קוריאה (DPRK) מרחיבים את טביעת הרגל הסייבר שלהם ברחבי אירופה ומחוצה לה, תוך מינוף פלטפורמות עבודה מרוחקות, זהויות בדויות וטקטיקות אגרסיביות יותר ויותר כמו סחיטה. מה שהתחיל כמבצע חשאי התפתח לרשת בינלאומית רחבת ידיים שנועדה לגנוב כסף ומידע מתחת לרדאר.
תוכן העניינים
פלישה שקטה של כוח העבודה העולמי
פעילי IT צפון קוריאנים מנצלים את הביקוש העולמי לעובדי טכנולוגיה מרוחקים. על ידי התחזות לפרילנסרים מיומנים ממדינות כמו יפן, מלזיה, אוקראינה, וייטנאם ואפילו ארה"ב, אנשים אלה השיגו חוזים לגיטימיים באמצעות פלטפורמות כגון Upwork, Freelancer ו-Telegram.
ברגע שהם נכנסים, הם יכולים לגשת למערכות רגישות ולפעמים אפילו לטפל בתשתיות קריטיות כמו מערכות ניהול תוכן (CMS), בוטים לאינטרנט ויישומי בלוקצ'יין. פעילים אלה פועלים לעתים קרובות תחת מספר זהויות - לפעמים עד תריסר לכל אדם - כאשר כל פרסונה משמשת כאסמכתא עבור האחרים. במקרה אחד, עובד בודד המקושר ל-DPRK ניהל 12 זהויות שונות ברחבי ארה"ב ואירופה, כל אחת מותאמת להונות מעסיקים ופלטפורמות גיוס עובדים.
אירופה על הכוונת
בעוד שארצות הברית נותרה יעד עיקרי, הגברת הבדיקה המשפטית ואמצעי אימות הזכות לעבודה משופרים דוחפים את פעילי DPRK להתרחב עמוק יותר לשווקים באירופה. גרמניה, פורטוגל ובריטניה דיווחו כולן על מקרי הסתננות, כאשר חלק מהעובדים לוקחים חלק בפיתוח בינה מלאכותית ואינטגרציית בלוקצ'יין - תחומים המעניקים לעתים קרובות גישה רחבה למערכת ומטפלים בבסיסי קוד קנייניים או רגישים.
בבריטניה, מסתננים אף נקשרו לשימוש לרעה בתשתית ארגונית, כמו שימוש במחשבים ניידים המיועדים למשרדים בארה"ב ממקומות בלונדון. פעולות אלו נתמכות לרוב על ידי מנחים מקומיים או בינלאומיים המסייעים להסוות את הזהות והמוצא של מפעילי ה-IT. GTIG מציינת את גילוי פרטי התקשרות של מתווכים העוסקים בדרכונים הונאה, מה שמדגיש עד כמה התוכנית הייתה בעלת משאבים ומאורגנת.
עליית הסחיטה: טקטיקה חדשה ומדאיגה
מאז סוף אוקטובר 2024, נוצרה שכבת סיכון חדשה. כאשר רשויות אכיפת החוק בארה"ב מתקפות - הפרעות והגשת כתבי אישום עולים - חלק מהעובדים הקשורים ל-DPRK פונים לסחיטה כמקור הכנסה לגיבוי. הטקטיקה מצמררת: לאחר סיום הפסקה או חישת זיהוי, פעילים מאיימים להדליף נתונים רגישים, כולל קוד מקור ומידע קריטי לעסק.
חוקרי GTIG מאמינים שהלחץ על פעילים אלה מאלץ שינוי בהתנהגות - מגניבת נתונים חמקנית לכפייה פיננסית אגרסיבית. ציר זה מסמן הסלמה מטרידה בגישתה של צפון קוריאה לריגול סייבר ופשע דיגיטלי.
מיקוד למקומות עבודה של BYOD
האסטרטגיה של DPRK התאימה גם למציאות העבודה מרחוק. GTIG מדווח כי פעילים צפון קוריאנים מכוונים יותר ויותר לחברות עם מדיניות Bring Your Own Device (BYOD). ארגונים אלה, המנסים לצמצם עלויות על ידי אי הנפקת מחשבים ניידים ארגוניים, מקלים בשוגג על פרילנסרים זדוניים לפעול ללא פיקוח מועט.
פגיעות זו מתווספת על ידי שימוש בפלטפורמות קריפטוגרפיות ותשלומים דיגיטליים כמו Payoneer, שעוזרות להסוות את המקור והיעד של הכספים. זוהי מערכת שנבנתה בקפידה שנועדה לנצל את הנקודות החלשות ביותר בהגנות אבטחת סייבר גלובליות - אמון אנושי, גישה מרחוק ומערכות מבוזרות.
מערכת אקולוגית גלובלית של הונאה
היקף הפעילות של DPRK מצביע על תשתית גלובלית שמתבגרת במהירות, הכוללת רשתות תמיכה מרובדות, מתווכים עם זהות בדויה ומערכות הלבנת תשלומים. הממצאים האחרונים של GTIG מדגישים עד כמה השחקנים האלה הפכו זריזים ומסוכנים.
"בתגובה למודעות המוגברת לאיום בארצות הברית, [עובדי IT של DPRK] הקימו מערכת אקולוגית עולמית של פרסונות הונאה כדי לשפר את הזריזות התפעולית", קובעת GTIG. היכולת שלהם להעביר במהירות פעולות מעבר לגבולות תוך שמירה על תזרים יציב של הכנסות היא דאגה רצינית לארגונים ברחבי העולם.
מה יכולים ארגונים לעשות?
- הדק את אימות הזהות : יישם תהליכי אימות קפדניים ורב-שלביים להעסקת עובדים מרחוק.
מחשבות אחרונות
ההתרחבות הגלובלית של חדירת ה-IT בצפון קוריאה היא לא רק בעיית אבטחת סייבר - היא מהווה איום ביטחוני וכלכלי לאומי. ככל שהטקטיקות שלהן משתכללות, חברות חייבות להסתגל עם הגנות מתקדמות באותה מידה. תמו הימים של העסקה סתמית של פרילנסרים מרחבי העולם ללא בדיקות רקע מעמיקות. העלות של חוסר מעש יכולה להיות גניבה - או הפעלת נשק - של הנכסים הדיגיטליים הקריטיים ביותר שלך.