Поделиться
Северокорейские госхакеры нанимаются на работу и воруют конфиденциальную информацию, чтобы шантажировать работодателей
Работники спецслужб Северной Кореи пытаются устроиться удаленно в американские и европейские компании и выкрасть их конфиденциальную информацию. Не всегда безуспешно.
От шпионажа к вымогательству
Федеральное бюро расследований США выпустило предупреждение о том, что северокорейские кибершпионы, обманом добившиеся удаленного трудоустройства в американских компаниях, пользуются доступом к исходному коду коммерческих разработок для кражи и последующего вымогательства. Если их требования не выполняются, они грозят опубликовать материалы, составляющие коммерческую тайну.
«Северокорейские ИТ-работники копируют репозитории кода своих нанимателей, такие как GitHub, в собственные аккаунты, локальные или облачные. В то время как многие разработчики ПО делают то же самое, в данном случае возникает масштабный риск кражи кода, – говорится в уведомлении ФБР. – [Эти работники] могут попытаться собирать значимые реквизиты доступа и файлы cookies сессий доступа для запуска рабочих сессий с неавторизованных устройств и с целью дальнейшей компрометации».
ФБР рекомендует компаниям применять принцип минимальных привилегий, отключать локальные административные аккаунты и ограничивать разрешения для удаленных десктоп-приложений. Также рекомендовано мониторить трафик на предмет аномалий: как указывается в публикации, северокорейские ИТ-работники часто заходят в один и тот же аккаунт со множества разных IP-адресов в течение короткого периода времени. Рекомендуется также проверять сетевые логи и сессии браузера на предмет признаков вывода данных через накопители общего доступа, облачные аккаунты и частные репозитории.
Главное же – это усовершенствовать процесс найма и проверки бэкграунда соискателей. Как указывается в публикации ФБР, сходные резюме и контакты в разных системах – сигнал для предосторожности.
Проблема, однако, в том, что эти работники активно используют ИИ для подмены лиц, в том числе при собеседовании через веб-камеру, что дополнительно осложняет процесс проверки.
С другой стороны, известно, что эти люди нередко используют одни и те же почтовые адреса и телефонные номера несколько раз, и это их выдает с головой. Среди других признаков названы характерные опечатки в резюме и нестандартная номенклатура.
Это война
В публикации ФБР говорится, что хакеры из КНДР называют себя «ИТ-воинами»; они используют так называемые «фермы ноутбуков», физически размещающиеся в США, чтобы выдавать себя за жителей страны. Если их все-таки раскрывают и увольняют, они начинают использовать полученную информацию о работодателе против него, вплоть до шантажа.
Аналитики компании Mandiant указывают, что попытки северокорейцев устроиться на работу в американские компании с целью что-либо похитить, наблюдаются все чаще, и что с недавних пор эти хакеры пытаются устроиться и в европейские компании.
Как отметил аналитик Mandiant Майкл Барнхарт (Michael Barnhart), ИТ-работники активно пользуются тем, что некоторые работодатели пользуются виртуальной инфраструктурой (VDI – Virtual Desktop Infrastructure) для взаимодействия с удаленными работниками, вместо того, чтобы отправлять им физические ноутбуки. Компании на этом экономят, но это повышает и риски нанять кого не стоило бы.
Власти США предлагают миллионы за информацию, которая позволила бы нарушить деятельность «личин» – подменных компаний, которые используются для прикрытия недружественной ИТ-деятельности северокорейских структур.
«Схема, по которой действуют северокорейские хакеры, не лишена определенной элегантности, хотя, по-видимому, предполагает лишь кратковременную активность, – такие работники себя довольно быстро выдают конкретными действиями», – отмечает Анастасия Мельникова, директор по информационной безопасности компании SEQ.
Эксперт добавила, что технологическая грамотность и продвинутость северокорейских акторов с каждым годом растет, и развитие технологий искусственного интеллекта только усложняют противодействие им.
Поделиться
Короткая ссылка
