Будьте осторожны! Северокорейские ИТ-специалисты используют удаленную работу для проникновения в глобальные организации
Угроза северокорейского киберпроникновения больше не является только американской проблемой — теперь это глобальный кризис. Согласно новым выводам Группы по исследованию угроз Google (GTIG), оперативники из Корейской Народно-Демократической Республики (КНДР) расширяют свое киберприсутствие по всей Европе и за ее пределами, используя платформы удаленной работы, фальшивые удостоверения личности и все более агрессивную тактику, такую как вымогательство. То, что начиналось как тайная операция, превратилось в обширную международную сеть, предназначенную для выкачивания денег и информации из-под радаров.
Оглавление
Тихое вторжение в мировую рабочую силу
Северокорейские ИТ-специалисты пользуются глобальным спросом на удаленных технических работников. Выдавая себя за опытных фрилансеров из таких стран, как Япония, Малайзия, Украина, Вьетнам и даже США, эти люди получили законные контракты через такие платформы, как Upwork, Freelancer и Telegram.
Оказавшись внутри, они могут получить доступ к чувствительным системам и иногда даже управлять критической инфраструктурой, такой как системы управления контентом (CMS), веб-боты и приложения блокчейна. Эти оперативники часто действуют под несколькими личностями — иногда до десятка на человека — причем каждая персона выступает в качестве ссылки для других. В одном случае один связанный с КНДР работник управлял 12 различными личностями в США и Европе, каждая из которых была создана для обмана работодателей и платформ найма.
Европа под прицелом
Хотя Соединенные Штаты остаются основной целью, усиление правового контроля и усиленные меры проверки права на труд побуждают агентов КНДР глубже проникать на европейские рынки. Германия, Португалия и Великобритания сообщили о случаях проникновения, при этом некоторые работники принимали участие в проектах по разработке ИИ и интеграции блокчейна — областях, которые часто предоставляют широкий доступ к системе и обрабатывают проприетарные или конфиденциальные кодовые базы.
В Великобритании инфильтраторы даже были связаны с неправомерным использованием корпоративной инфраструктуры, например, с использованием ноутбуков, предназначенных для офисов США из офисов в Лондоне. Эти операции часто поддерживаются местными или международными посредниками, которые помогают скрыть личность и происхождение ИТ-специалистов. GTIG отмечает обнаружение контактных данных брокеров, занимающихся поддельными паспортами, что подчеркивает, насколько хорошо организованной и обеспеченной ресурсами стала эта схема.
Рост вымогательства: новая тревожная тактика
С конца октября 2024 года появился новый уровень риска. С ужесточением мер со стороны правоохранительных органов США — срывов и обвинительных заключений становится все больше — некоторые работники, связанные с КНДР, прибегают к вымогательству в качестве резервного источника дохода. Тактика леденит душу: после увольнения или обнаружения оперативники угрожают утечкой конфиденциальных данных, включая исходный код и критически важную для бизнеса информацию.
Исследователи GTIG полагают, что давление на этих оперативников заставляет изменить поведение — от скрытой кражи данных к агрессивному финансовому принуждению. Этот поворот знаменует собой тревожную эскалацию подхода Северной Кореи к кибершпионажу и цифровой преступности.
Ориентация на рабочие места BYOD
Стратегия КНДР также адаптировалась к реалиям удаленной работы. GTIG сообщает, что северокорейские оперативники все чаще нацеливаются на компании с политикой Bring Your Own Device (BYOD). Эти организации, пытаясь сократить расходы, не выдавая корпоративные ноутбуки, непреднамеренно облегчают работу злонамеренных фрилансеров с минимальным контролем.
Эта уязвимость усугубляется использованием криптовалюты и цифровых платежных платформ, таких как Payoneer, которые помогают скрыть происхождение и назначение средств. Это тщательно выстроенная система, призванная использовать самые слабые места в глобальной защите кибербезопасности — человеческое доверие, удаленный доступ и децентрализованные системы.
Глобальная экосистема обмана
Масштаб операций КНДР предполагает быстро развивающуюся глобальную инфраструктуру, полную многоуровневых сетей поддержки, брокеров поддельных удостоверений личности и систем отмывания платежей. Последние выводы GTIG подчеркивают, насколько гибкими и опасными стали эти субъекты.
«В ответ на возросшую осведомленность об угрозе в Соединенных Штатах [работники ИТ-отдела КНДР] создали глобальную экосистему мошеннических персон для повышения оперативной гибкости», — утверждает GTIG. Их способность быстро перемещать операции через границы, сохраняя при этом стабильный поток доходов, вызывает серьезную озабоченность у организаций по всему миру.
Что могут сделать организации?
- Ужесточите проверку личности : внедрите строгие многоэтапные процессы проверки при найме удаленных работников.
Заключительные мысли
Глобальное расширение северокорейского проникновения в IT — это не просто проблема кибербезопасности, это угроза национальной безопасности и экономике. Поскольку их тактика становится все более изощренной, компании должны адаптироваться с использованием столь же продвинутой защиты. Дни небрежного найма фрилансеров со всего мира без глубокой проверки биографических данных прошли. Ценой бездействия может стать кража — или превращение в оружие — ваших самых важных цифровых активов.