Óvakodik! Észak-koreai informatikai alkalmazottak, akik távmunkát használnak a globális szervezetekbe való beszivárgás érdekében

Az észak-koreai kiberbeszivárgás veszélye már nem csak amerikai aggodalom, hanem globális válság. A Google Threat Intelligence Group (GTIG) új megállapításai szerint a Koreai Népi Demokratikus Köztársaság (KNDK) munkatársai kiterjesztik kiberlábnyomukat Európa-szerte és azon túl is, kihasználva a távoli munkaplatformokat, a hamis személyazonosságokat és az egyre agresszívebb taktikákat, például a zsarolást. Ami titkos műveletnek indult, az egy kiterjedt, nemzetközi hálózattá fejlődött, amelynek célja, hogy a radar alatt szippantsa le a pénzt és az információkat.

A globális munkaerő csendes inváziója

Az észak-koreai IT-alkalmazottak kihasználják a távoli technológiai dolgozók iránti globális keresletet. Azáltal, hogy képzett szabadúszóknak adták ki magukat olyan országokból, mint Japán, Malajzia, Ukrajna, Vietnám és még az Egyesült Államok is, ezek a személyek törvényes szerződéseket kötöttek olyan platformokon keresztül, mint az Upwork, a Freelancer és a Telegram.

Ha bejutnak, hozzáférhetnek az érzékeny rendszerekhez, és néha még olyan kritikus infrastruktúrákat is kezelhetnek, mint a tartalomkezelő rendszerek (CMS), webbotok és blokklánc-alkalmazások. Ezek az ügynökök gyakran több identitás alatt tevékenykednek – esetenként akár egy tucatnyian is –, és mindegyik személy referenciaként szolgál a többiek számára. Egy esetben egyetlen, a KNDK-hoz kötődő munkavállaló 12 különálló identitását kezelte az Egyesült Államokban és Európában, mindegyiket a munkaadók és a munkaerő-felvételi platformok megtévesztésére szabták.

Európa a célkeresztben

Noha az Egyesült Államok továbbra is az elsődleges célpont, a fokozott jogi ellenőrzés és a munkához való jog fokozott ellenőrzése arra készteti a KNDK munkatársait, hogy mélyebbre terjeszkedjenek az európai piacokon. Németország, Portugália és az Egyesült Királyság mind beszivárgási esetekről számolt be, és néhány dolgozó AI fejlesztési és blokklánc-integrációs projektekben vett részt – olyan területeken, amelyek gyakran széles körű hozzáférést biztosítanak a rendszerhez, és védett vagy érzékeny kódbázisokat kezelnek.

Az Egyesült Királyságban a behatolókat még a vállalati infrastruktúra visszaéléseivel is összefüggésbe hozták, például londoni helyekről amerikai irodáknak szánt laptopok használatával. Ezeket a műveleteket gyakran helyi vagy nemzetközi facilitátorok támogatják, akik segítenek elfedni az IT-alkalmazottak kilétét és származását. A GTIG megjegyzi, hogy felfedezték a hamis útlevelekkel foglalkozó brókerek elérhetőségeit, ami rámutat arra, hogy a rendszer mennyire jól ellátott és szervezett lett.

A zsarolás felemelkedése: új, riasztó taktika

2024 októberének vége óta a kockázatok új rétege jelent meg. Az amerikai bűnüldöző szervek fellépésével – a rendbontások és a vádemelések egyre szaporodnak – a KNDK-hoz köthető munkavállalók egy része tartalék bevételi forrásként a zsaroláshoz fordul. A taktika lehangoló: a felmondás vagy az észlelés észlelése után a munkatársak érzékeny adatok kiszivárogtatásával fenyegetőznek, beleértve a forráskódot és az üzleti szempontból kritikus információkat.

A GTIG kutatói úgy vélik, hogy az ezekre az alkalmazottakra nehezedő nyomás a viselkedés megváltoztatására kényszerít – a lopakodó adatlopásról az agresszív pénzügyi kényszerre. Ez a fordulat nyugtalanító eszkalációt jelez Észak-Korea kiberkémkedéssel és digitális bűnözéssel kapcsolatos megközelítésében.

A BYOD Workplaces célzása

A KNDK stratégiája a távmunka valóságához is igazodott. A GTIG jelentése szerint az észak-koreai alkalmazottak egyre gyakrabban veszik célba a Bring Your Own Device (BYOD) szabályzattal rendelkező vállalatokat. Ezek a szervezetek, amelyek megpróbálják csökkenteni a költségeket azzal, hogy nem bocsátanak ki vállalati laptopokat, akaratlanul is megkönnyítik a rosszindulatú szabadúszók működését csekély felügyelet mellett.

Ezt a sebezhetőséget tetézi a kriptovaluta és a digitális fizetési platformok, például a Payoneer használata, amelyek segítenek elfedni a pénzeszközök eredetét és rendeltetési helyét. Ez egy gondosan felépített rendszer, amelynek célja a globális kiberbiztonsági védelem leggyengébb pontjainak – az emberi bizalom, a távoli hozzáférés és a decentralizált rendszerek – kihasználása.

A csalás globális ökoszisztémája

A KNDK tevékenységi köre gyorsan fejlődő globális infrastruktúrára utal, amely többrétegű támogatási hálózatokkal, hamis személyazonosság-brókerekkel és fizetési mosási rendszerekkel egészül ki. A GTIG legújabb eredményei rávilágítanak arra, hogy mennyire mozgékonyak és veszélyesek lettek ezek a szereplők.

„Az Egyesült Államokon belüli fenyegetéssel kapcsolatos fokozott tudatosságra válaszul [a KNDK IT-dolgozói] létrehozták a csaló személyek globális ökoszisztémáját, hogy fokozzák a működési agilitást” – állítja a GTIG. Világszerte komoly aggodalomra ad okot a szervezetek számára, hogy képesek gyorsan áthelyezni tevékenységüket a határokon túlra, miközben a bevételek stabil áramlását fenntartják.

Mit tehetnek a szervezetek?

1. A személyazonosság-ellenőrzés szigorítása : szigorú, többlépcsős ellenőrzési folyamatok végrehajtása távoli alkalmazottak felvételéhez.

Végső gondolatok

Az észak-koreai IT-beszivárgás globális terjedése nem csupán kiberbiztonsági probléma, hanem nemzetbiztonsági és gazdasági fenyegetés is. Ahogy a taktikájuk kifinomultabbá válik, a vállalatoknak ugyanolyan fejlett védelmi rendszerekkel kell alkalmazkodniuk. Véget értek azok az idők, amikor a világ minden tájáról szabadúszókat vettek fel mélyreható háttérellenőrzés nélkül. A tétlenség ára lehet a legkritikusabb digitális eszközeinek ellopása – vagy fegyverkezése.