Северокорейские хакеры притворились венчурными капиталистами и похитили миллиарды долларов

Детали

Исследователи безопасности разоблачили крупную схему, которая помогала Северной Корее пополнять бюджет. Венчурный инвестор, рекрутер из крупной компании и недавно нанятый удаленный IT-работник – это все фейковые личности государственных хакеров режима, которые притворяются теми, кем они не являются, сообщает 24 Канал со ссылкой на TechCrunch.

Смотрите также Хакеров КНДР разоблачили на распространении нового вредоносного ПО для macOS, которое не видят антивирусы

На ежегодной конференции Cyberwarcon в Вашингтоне, посвященной угрозам в киберпространстве, исследователи безопасности предложили свою последнюю оценку деятельности Северной Кореи. Они предупредили о постоянных попытках хакеров страны выдавать себя за потенциальных работников, которые якобы ищут работу в транснациональных корпорациях. Но главной целью является лишь заработать деньги для северокорейского режима и похитить корпоративные секреты, способствующие его программе вооружений. За последнее десятилетие эти самозванцы заработали миллиарды долларов в криптовалюте для финансирования ядерной программы, избежав ряда международных санкций.

Исследователь безопасности Microsoft Джеймс Эллиотт заявил, что северокорейские IT-специалисты уже проникли в "сотни" организаций по всему миру, создав фальшивые учетные данные, полагаясь на американских посредников, которые управляли их рабочими станциями и заработанными средствами, чтобы обойти финансовые санкции, которые применяются к стране.

Исследователи, изучающие кибернетические возможности КНДР, видят растущую угрозу как разрозненную массу отдельных хакерских групп, каждая с собственной тактикой и методами. Но цель их коллективная – кража криптовалюты. Режим мало чем рискует из-за своих хакерских атак, ведь страна уже находится под санкциями.

• Одна группа хакеров, которую Microsoft называет "Ruby Sleet", скомпрометировала аэрокосмические и оборонные компании с целью похищения промышленных секретов, которые могли бы помочь в дальнейшем развитии оружия и навигационных систем.
• В своем блоге Microsoft также подробно описала другую группу северокорейских хакеров, "Sapphire Sleet", которые маскировались под рекрутеров и венчурных инвесторов. Они похищали деньги у частных лиц и компаний.
  Связавшись с жертвой, они организовывали виртуальную встречу, но все было спроектировано таким образом, чтобы программа работала со сбоями. Чтобы якобы исправить проблему, самозванец заставлял жертву загрузить вредоносное программное обеспечение.
  В другом методе мошенник просит загрузить и заполнить оценивание навыков, которое на самом деле содержит вредоносное программное обеспечение. После инсталляции вирус может получить доступ к другим материалам на компьютере, в том числе к криптовалютным кошелькам. Этими способами за последние полгода украли по меньшей мере 10 миллионов долларов.
• Но, безусловно, наиболее настойчивой и сложной кампанией являются попытки северокорейских хакеров наниматься на работу в крупные компании под видом удаленных работников, пользуясь бумом удаленной работы, который начался во время пандемии Covid-19. Microsoft назвала северокорейских IT-работников "тройной угрозой" из-за их способности обманом устраиваться на работу в крупные компании и зарабатывать деньги для северокорейского режима, а также воровать секреты компаний и их интеллектуальную собственность, чтобы потом требовать у жертвы деньги, угрожая раскрытием данных.

Из сотен компаний, которые нечаянно наняли северокорейского шпиона, только несколько публично признали себя жертвами. Одна из них – фирма по безопасности KnowBe4. Она заявила в начале этого года, что ее обманом заставили нанять северокорейского сотрудника, но компания заблокировала удаленный доступ работника, как только поняла, что ее обманули, и заявила, что никаких данных не было похищено.

Как работает этот метод

Чтобы реализовать замысел, хакеры создают ряд учетных записей, таких как профиль LinkedIn и страница на GitHub, чтобы установить уровень профессионального доверия. IT-работник может создавать фальшивые идентификационные данные с помощью искусственного интеллекта, в том числе с использованием технологии изменения лица и голоса.

После приема на работу компания отправляет новый ноутбук для работника на домашний адрес в США, где проживает посредник, задачей которого является создание "фермы" из ноутбуков, выданных компанией. Посредник также устанавливает на ноутбуки программное обеспечение для удаленного доступа, что позволяет северокорейским шпионам на другом конце света удаленно входить в систему, не раскрывая своего настоящего местонахождения.

В Microsoft заявили, что шпионы действуют не только из Северной Кореи, но и из России и Китая, двух близких союзников режима, что затрудняет выявление подозреваемых в сетях.

Как Microsoft раскрыла этот заговор

Джеймс Эллиотт из Microsoft сказал, что компании повезло, когда она случайно получила доступ к хранилищу, принадлежавшему северокорейскому IT-работнику. Оно содержало электронные таблицы и документы, подробно описывающие всю хакерскую кампанию, включая досье фальшивых идентификационных данных и резюме, которые северокорейские IT-работники использовали для найма на работу, а также суммы денег, заработанных во время этой операции. Эллиотт описал хранилища как содержащие, "полную инструкцию" для хакеров, которые осуществляли кражу личных данных.

Это не единственная халатность хакеров. Microsoft вместе с коллегами зафиксировали несколько промахов, которых те допустили. В частности, фальшивые личности не всегда были построены тщательно. Они также допускали ошибки при взаимодействии с жертвами и многие другие, что наталкивало на подозрения.

В одном из случаев исследователи, известные как Хой Мьонг и SttyK, разговаривали с одним подозреваемым северокорейским IT-работником, который утверждал, что он японец, но делал лингвистические ошибки в своих сообщениях, например, использовал слова или фразы, которые не существуют в японском языке. Личность IT-работника имела и другие недостатки, например, он утверждал, что владеет банковским счетом в Китае, но имел IP-адрес, который указывал на то, что он находится в России.

Недавно также ФБР также предупредило, что злоумышленники часто используют изображения, сгенерированные искусственным интеллектом, или дипфейки, которые получают из похищенных идентификационных данных, чтобы устроиться на работу в IT-компании. В 2024 году американские прокуроры выдвинули обвинения против нескольких лиц, которые руководили фермами ноутбуков, которые помогали обходить санкции.

Но компании также должны лучше проверять своих потенциальных работников, призывают исследователи. "Они никуда не денутся. Они останутся здесь надолго", – сказал Эллиотт.