Attenzione! Gli operatori IT nordcoreani sfruttano il lavoro da remoto per infiltrarsi nelle organizzazioni globali
La minaccia di infiltrazione informatica nordcoreana non è più solo una preoccupazione americana, ma è ormai una crisi globale. Secondo le nuove scoperte del Threat Intelligence Group (GTIG) di Google, gli agenti della Repubblica Popolare Democratica di Corea (DPRK) stanno espandendo la loro impronta informatica in tutta Europa e oltre, sfruttando piattaforme di lavoro da remoto, false identità e tattiche sempre più aggressive come l'estorsione. Quella che è iniziata come un'operazione segreta si è evoluta in una rete internazionale tentacolare progettata per sottrarre denaro e informazioni sotto traccia.
Sommario
Un’invasione silenziosa della forza lavoro globale
Gli operatori IT nordcoreani stanno sfruttando la domanda globale di lavoratori remoti nel settore tecnologico. Fingendosi liberi professionisti qualificati provenienti da paesi come Giappone, Malesia, Ucraina, Vietnam e persino Stati Uniti, questi individui si sono assicurati contratti legittimi tramite piattaforme come Upwork, Freelancer e Telegram.
Una volta dentro, possono accedere a sistemi sensibili e a volte persino gestire infrastrutture critiche come sistemi di gestione dei contenuti (CMS), web bot e applicazioni blockchain. Questi operatori spesso operano sotto più identità, a volte fino a una dozzina per individuo, con ogni persona che funge da riferimento per le altre. In un caso, un singolo lavoratore collegato alla DPRK gestiva 12 identità distinte negli Stati Uniti e in Europa, ciascuna pensata per ingannare datori di lavoro e piattaforme di assunzione.
L'Europa nel mirino
Mentre gli Stati Uniti rimangono un obiettivo primario, un crescente controllo legale e misure di verifica del diritto al lavoro rafforzate stanno spingendo gli operatori della RPDC a espandersi più in profondità nei mercati europei. Germania, Portogallo e Regno Unito hanno tutti segnalato casi di infiltrazione, con alcuni lavoratori che prendono parte a progetti di sviluppo di intelligenza artificiale e integrazione di blockchain, campi che spesso garantiscono un ampio accesso al sistema e gestiscono basi di codice proprietarie o sensibili.
Nel Regno Unito, gli infiltrati sono stati persino collegati all'uso improprio delle infrastrutture aziendali, come l'uso di laptop destinati agli uffici statunitensi da sedi a Londra. Queste operazioni sono spesso supportate da facilitatori locali o internazionali che aiutano a mascherare l'identità e l'origine degli operatori IT. GTIG nota la scoperta di dettagli di contatto per broker che trattano passaporti falsi, sottolineando quanto sia diventato ben organizzato e dotato di risorse il sistema.
L’ascesa dell’estorsione: una nuova, allarmante tattica
Da fine ottobre 2024, è emerso un nuovo livello di rischio. Con le forze dell'ordine statunitensi che reprimono le attività (le interruzioni e le incriminazioni sono in aumento), alcuni lavoratori legati alla RPDC si stanno rivolgendo all'estorsione come fonte di reddito di riserva. Le tattiche sono agghiaccianti: dopo essere stati licenziati o aver percepito di essere stati scoperti, gli agenti minacciano di far trapelare dati sensibili, tra cui codice sorgente e informazioni aziendali critiche.
I ricercatori del GTIG ritengono che la pressione su questi agenti stia forzando un cambiamento di comportamento, dal furto furtivo di dati all'aggressiva coercizione finanziaria. Questo cambiamento segna un'inquietante escalation nell'approccio della Corea del Nord allo spionaggio informatico e alla criminalità digitale.
Targeting per i luoghi di lavoro BYOD
La strategia della DPRK si è anche adattata alle realtà del lavoro da remoto. GTIG segnala che gli operatori nordcoreani stanno prendendo sempre più di mira le aziende con politiche Bring Your Own Device (BYOD). Queste organizzazioni, che cercano di tagliare i costi non distribuendo laptop aziendali, inavvertitamente facilitano l'operatività di freelance malintenzionati con poca supervisione.
Questa vulnerabilità è aggravata dall'uso di criptovalute e piattaforme di pagamento digitali come Payoneer, che aiutano a mascherare l'origine e la destinazione dei fondi. Si tratta di un sistema attentamente costruito, pensato per sfruttare i punti più deboli delle difese di sicurezza informatica globali: fiducia umana, accesso remoto e sistemi decentralizzati.
Un ecosistema globale di inganno
La portata delle operazioni della DPRK suggerisce un'infrastruttura globale in rapida maturazione, completa di reti di supporto stratificate, broker di false identità e sistemi di riciclaggio dei pagamenti. Le ultime scoperte di GTIG sottolineano quanto siano diventati agili e pericolosi questi attori.
"In risposta alla maggiore consapevolezza della minaccia negli Stati Uniti, [i lavoratori IT della DPRK] hanno creato un ecosistema globale di personaggi fraudolenti per migliorare l'agilità operativa", afferma GTIG. La loro capacità di spostare rapidamente le operazioni oltre confine mantenendo un flusso stabile di entrate è una seria preoccupazione per le organizzazioni in tutto il mondo.
Cosa possono fare le organizzazioni?
- Rafforzare la verifica dell'identità : implementare rigorosi processi di verifica in più fasi per l'assunzione di lavoratori da remoto.
Considerazioni finali
L'espansione globale dell'infiltrazione informatica nordcoreana non è solo un problema di sicurezza informatica, ma anche una minaccia per la sicurezza nazionale e l'economia. Man mano che le loro tattiche diventano più sofisticate, le aziende devono adattarsi con difese altrettanto avanzate. I giorni in cui si assumevano casualmente freelance da tutto il mondo senza controlli approfonditi dei precedenti sono finiti. Il costo dell'inazione potrebbe essere il furto, o la trasformazione in arma, delle tue risorse digitali più critiche.