Uważaj! Północnokoreańscy pracownicy IT wykorzystują pracę zdalną do infiltracji organizacji globalnych
Zagrożenie północnokoreańską cyberinfiltracją nie jest już tylko amerykańskim zmartwieniem — to teraz globalny kryzys. Według nowych ustaleń Threat Intelligence Group (GTIG) Google, agenci z Koreańskiej Republiki Ludowo-Demokratycznej (KRLD) rozszerzają swój zasięg cybernetyczny w Europie i poza nią, wykorzystując platformy pracy zdalnej, fałszywe tożsamości i coraz bardziej agresywne taktyki, takie jak wymuszenia. To, co zaczęło się jako tajna operacja, przekształciło się w rozległą, międzynarodową sieć zaprojektowaną w celu wyprowadzania pieniędzy i informacji poza radarem.
Spis treści
Cicha inwazja na globalną siłę roboczą
Północnokoreańscy pracownicy IT wykorzystują globalny popyt na zdalnych pracowników technicznych. Podszywając się pod wykwalifikowanych freelancerów z krajów takich jak Japonia, Malezja, Ukraina, Wietnam, a nawet Stany Zjednoczone, osoby te zabezpieczyły legalne kontrakty za pośrednictwem platform takich jak Upwork, Freelancer i Telegram.
Po wejściu do środka mogą uzyskać dostęp do wrażliwych systemów, a czasem nawet obsługiwać krytyczną infrastrukturę, taką jak systemy zarządzania treścią (CMS), boty internetowe i aplikacje blockchain. Ci pracownicy często działają pod wieloma tożsamościami — czasami nawet do kilkunastu na osobę — przy czym każda persona pełni funkcję odniesienia dla pozostałych. W jednym przypadku pojedynczy pracownik powiązany z DPRK zarządzał 12 różnymi tożsamościami w USA i Europie, z których każda była dostosowana do oszukiwania pracodawców i platform rekrutacyjnych.
Europa na celowniku
Podczas gdy Stany Zjednoczone pozostają głównym celem, coraz większa kontrola prawna i wzmocnione środki weryfikacji prawa do pracy skłaniają agentów DPRK do głębszej ekspansji na rynki europejskie. Niemcy, Portugalia i Wielka Brytania zgłosiły przypadki infiltracji, a niektórzy pracownicy biorą udział w projektach rozwoju AI i integracji blockchain — dziedzinach, które często przyznają szeroki dostęp do systemu i obsługują zastrzeżone lub wrażliwe bazy kodów.
W Wielkiej Brytanii infiltratorów powiązano nawet z nadużyciami infrastruktury korporacyjnej, takimi jak korzystanie z laptopów przeznaczonych dla biur w USA z lokalizacji w Londynie. Operacje te są często wspierane przez lokalnych lub międzynarodowych pośredników, którzy pomagają ukryć tożsamość i pochodzenie pracowników IT. GTIG odnotowuje odkrycie danych kontaktowych brokerów zajmujących się fałszywymi paszportami, podkreślając, jak dobrze wyposażony i zorganizowany stał się ten schemat.
Wzrost wymuszeń: nowa, alarmująca taktyka
Od końca października 2024 r. pojawiła się nowa warstwa ryzyka. Wraz z represjami ze strony organów ścigania w USA — liczba zakłóceń i aktów oskarżenia rośnie — niektórzy pracownicy powiązani z DPRK zwracają się ku wymuszeniom jako zapasowemu strumieniowi dochodu. Taktyka jest przerażająca: po zwolnieniu lub wykryciu wykrycia agenci grożą wyciekiem poufnych danych, w tym kodu źródłowego i informacji krytycznych dla firmy.
Badacze GTIG uważają, że presja wywierana na tych agentów wymusza zmianę zachowania — od ukrytej kradzieży danych do agresywnego przymusu finansowego. Ten zwrot oznacza niepokojącą eskalację w podejściu Korei Północnej do cybernetycznego szpiegostwa i przestępczości cyfrowej.
Kierowanie na miejsca pracy BYOD
Strategia KRLD dostosowała się również do realiów pracy zdalnej. GTIG informuje, że północnokoreańscy agenci coraz częściej atakują firmy z polityką Bring Your Own Device (BYOD). Te organizacje, próbując obniżyć koszty poprzez niewydawanie korporacyjnych laptopów, nieświadomie ułatwiają działanie złośliwym freelancerom przy niewielkim nadzorze.
Ta podatność jest spotęgowana przez wykorzystanie kryptowalut i platform płatności cyfrowych, takich jak Payoneer, które pomagają ukryć pochodzenie i przeznaczenie środków. To starannie skonstruowany system, którego celem jest wykorzystanie najsłabszych punktów w globalnych zabezpieczeniach cyberbezpieczeństwa — zaufania ludzi, dostępu zdalnego i zdecentralizowanych systemów.
Globalny ekosystem oszustw
Zakres działań DPRK sugeruje szybko dojrzewającą globalną infrastrukturę, uzupełnioną o wielowarstwowe sieci wsparcia, fałszywych brokerów tożsamości i systemy prania pieniędzy. Najnowsze ustalenia GTIG podkreślają, jak zwinni i niebezpieczni stali się ci aktorzy.
„W odpowiedzi na zwiększoną świadomość zagrożenia w Stanach Zjednoczonych [pracownicy IT z KRLD] stworzyli globalny ekosystem oszukańczych person, aby zwiększyć sprawność operacyjną”, stwierdza GTIG. Ich zdolność do szybkiego przenoszenia operacji przez granice przy jednoczesnym utrzymaniu stabilnego przepływu przychodów jest poważnym problemem dla organizacji na całym świecie.
Co mogą zrobić organizacje?
- Wzmocnij weryfikację tożsamości : Wprowadź rygorystyczne, wieloetapowe procesy weryfikacji przy zatrudnianiu pracowników zdalnych.
Ostatnie przemyślenia
Globalna ekspansja północnokoreańskiej infiltracji IT nie jest tylko problemem cyberbezpieczeństwa — to zagrożenie dla bezpieczeństwa narodowego i gospodarki. W miarę jak ich taktyki stają się bardziej wyrafinowane, firmy muszą dostosować się do równie zaawansowanych zabezpieczeń. Czasy swobodnego zatrudniania freelancerów z całego świata bez dogłębnych kontroli przeszłości minęły. Kosztem bezczynności może być kradzież — lub uzbrojenie — twoich najważniejszych zasobów cyfrowych.