Північнокорейські хакери прикинулися венчурними капіталістами й викрали мільярди доларів

Деталі

Дослідники безпеки викрили велику схему, яка допомагала Північній Кореї поповнювати бюджет. Венчурний інвестор, рекрутер з великої компанії і нещодавно найнятий віддалений ІТ-працівник – це все фейкові особистості державних хакерів режиму, які прикидаються тими, ким вони не є, повідомляє 24 Канал з посиланням на TechCrunch.

Дивіться також Хакерів КНДР викрили на поширенні нового шкідливого ПЗ для macOS, яке не бачать антивіруси

На щорічній конференції Cyberwarcon у Вашингтоні, присвяченій загрозам у кіберпросторі, дослідники безпеки запропонували свою останню оцінку діяльності Північної Кореї. Вони попередили про постійні спроби хакерів країни видавати себе за потенційних працівників, які начебто шукають роботу в транснаціональних корпораціях. Але головною метою є лише заробити гроші для північнокорейського режиму й викрасти корпоративні секрети, що сприяють його програмі озброєнь. За останнє десятиліття ці самозванці заробили мільярди доларів у криптовалюті для фінансування ядерної програми, уникнувши низки міжнародних санкцій.

Дослідник безпеки Microsoft Джеймс Елліотт заявив, що північнокорейські ІТ-спеціалісти вже проникли в "сотні" організацій по всьому світу, створивши фальшиві облікові дані, покладаючись на американських посередників, які керували їхніми робочими станціями та заробленими коштами, щоб обійти фінансові санкції, які застосовуються до країни.

Дослідники, які вивчають кібернетичні можливості КНДР, бачать зростаючу загрозу як розрізнену масу окремих хакерських груп, кожна з власною тактикою і методами. Але мета їх колективна – крадіжка криптовалюти. Режим мало чим ризикує через свої хакерські атаки, адже країна вже перебуває під санкціями.

• Одна група хакерів, яку Microsoft називає "Ruby Sleet", скомпрометувала аерокосмічні та оборонні компанії з метою викрадення промислових секретів, які могли б допомогти в подальшому розвитку зброї та навігаційних систем.
• У своєму блозі Microsoft також детально описала іншу групу північнокорейських хакерів, "Sapphire Sleet", які маскувалися під рекрутерів і венчурних інвесторів. Вони викрадали гроші у приватних осіб і компаній.
  Зв'язавшись із жертвою, вони організовували віртуальну зустріч, але все було спроєктовано таким чином, щоб програма працювала зі збоями. Щоб нібито виправити проблему, самозванець змушував жертву завантажити шкідливе програмне забезпечення.
  В іншому методі шахрай просить завантажити та заповнити оцінювання навичок, яке насправді містить шкідливе програмне забезпечення. Після інсталяції вірус може отримати доступ до інших матеріалів на комп'ютері, в тому числі до криптовалютних гаманців. Цими способами за останні пів року вкрали щонайменше 10 мільйонів доларів.
• Але, безумовно, найбільш наполегливою і складною кампанією є спроби північнокорейських хакерів найматися на роботу у великі компанії під виглядом віддалених працівників, користуючись бумом віддаленої роботи, який розпочався під час пандемії Covid-19. Microsoft назвала північнокорейських ІТ-працівників "потрійною загрозою" через їхню здатність обманом влаштовуватися на роботу у великі компанії та заробляти гроші для північнокорейського режиму, а також красти секрети компаній та їхню інтелектуальну власність, щоби потім вимагати у жертви гроші, погрожуючи розкриттям даних.

Із сотень компаній, які ненавмисно найняли північнокорейського шпигуна, лише кілька публічно визнали себе жертвами. Одна з них – безпекова фірма KnowBe4. Вона заявила на початку цього року, що її обманом змусили найняти північнокорейського співробітника, але компанія заблокувала віддалений доступ працівника, як тільки зрозуміла, що її обдурили, і заявила, що жодних даних не було викрадено.

Як працює цей метод

Щоб реалізувати задум, хакери створюють низку облікових записів, таких як профіль LinkedIn та сторінка на GitHub, щоб встановити рівень професійної довіри. ІТ-працівник може створювати фальшиві ідентифікаційні дані за допомогою штучного інтелекту, в тому числі з використанням технології зміни обличчя та голосу.

Після прийому на роботу компанія відправляє новий ноутбук для працівника на домашню адресу в США, де проживає посередник, завданням якого є створення "ферми" з ноутбуків, виданих компанією. Посередник також встановлює на ноутбуки програмне забезпечення для віддаленого доступу, що дозволяє північнокорейським шпигунам на іншому кінці світу віддалено входити в систему, не розкриваючи свого справжнього місцезнаходження.

У Microsoft заявили, що шпигуни діють не лише з Північної Кореї, але й з Росії та Китаю, двох близьких союзників режиму, що ускладнює виявлення підозрюваних у мережах.

Як Microsoft розкрила цю змову

Джеймс Елліотт з Microsoft сказав, що компанії пощастило, коли вона випадково отримала доступ до сховища, що належало північнокорейському ІТ-працівнику. Воно містило електронні таблиці й документи, що детально описували всю хакерську кампанію, включаючи досьє фальшивих ідентифікаційних даних і резюме, які північнокорейські ІТ-працівники використовували для найму на роботу, а також суми грошей, зароблених під час цієї операції. Елліотт описав сховища як такі, що містили "повну інструкцію" для хакерів, які здійснювали крадіжку особистих даних.

Це не єдина недбалість хакерів. Microsoft разом із колегами зафіксували кілька промахів, яких ті припустилися. Зокрема, фальшиві особистості не завжди були побудовані ретельно. Вони також припускалися помилок при взаємодії з жертвами та багатьох інших, що наштовхувало на підозри.

В одному з випадків дослідники, відомі як Хой Мьонг і SttyK, розмовляли з одним підозрюваним північнокорейським ІТ-працівником, який стверджував, що він японець, але робив лінгвістичні помилки у своїх повідомленнях, наприклад, використовував слова або фрази, які не існують в японській мові. Особистість ІТ-працівника мала й інші недоліки, наприклад, він стверджував, що володіє банківським рахунком у Китаї, але мав IP-адресу, яка вказувала на те, що він перебуває в Росії.

Нещодавно також ФБР також попередило, що зловмисники часто використовують зображення, згенеровані штучним інтелектом, або діпфейки, які отримують з викрадених ідентифікаційних даних, щоб влаштуватися на роботу в ІТ-компанії. У 2024 році американські прокурори висунули звинувачення проти кількох осіб, які керували фермами ноутбуків, що допомагали обходити санкції.

Але компанії також повинні краще перевіряти своїх потенційних працівників, закликають дослідники. "Вони нікуди не дінуться. Вони залишаться тут надовго", – сказав Елліотт.