Поделиться
Действия северокорейских хакеров задокументировали с помощью поддельной личности
Агенты КНДР всё чаще пытаются использовать подставных лиц, чтобы получить удалённую работу в крупных западных компаниях. Исследователи создали такое поддельное подставное лицо и смогли записать все действия противника и выяснить, какими средствами он пользуется.
Вам самому не придётся ничего делать
Эксперт по кибербезопасности компании BCA LTD Мауро Элдритч (Mauro Eldritch) и его коллега Хейнер Гарсиа (Heiner García) из фирмы NorthScan, смогли задокументировать во всех подробностях деятельность одного из ответвлений северокорейского кластера Lazarus. Речь идёт о Famous Chollima/WageMole, группе, которая специализируется на проникновении в сети западных компаний с помощью социальной инженерии.
В последнее время участники Famous Chollima активно пытаются влезть в чужие сети, используя - в буквальном смысле - «арендованные личности».
Схема сравнительно проста: агенты киберразведки КНДР находят квалифицированного ИТ-работника (особенно нуждающегося в деньгах) и предлагают ему помочь с фиктивным удалённым трудоустройством в крупную компанию - выступить в качестве подставного лица. За это соучастнику схемы предлагали 20-35% от будущей зарплаты, в то время как всю работу на самом деле будет выполнять корейские «специалисты». Ещё больший куш предлагается, если ИТ-работник (обычно программист) позволит использовать его компьютер для подключения к корпоративным сетям работодателя.
Как отметил Элдритч, все риски на самом деле несёт подставное лицо: в случае, если через его систему и от его имени будет нанесён серьёзный ущерб, отвечать перед законом придётся ему.
Элдритч столкнулся с Famous Chollima в период, когда возглавлял Quetzal Team, группу исследователей угроз в сфере Web3 при компании Bitso. Несколько таких эпизодов он подробно задокументировал.
В последнее время, как пишет Элдритч, в GitHub завелись множественные аккаунты, которые заспамливают чужие репозитории объявлениями о поисках людей, способных и готовых проходить технические собеседования от имени поддельной личности, якобы обладающей детализированными знаниями .NET, Java, C#, Python, JavaScript, Ruby, Golang и блокчейна. Кандидату не обязательно обладать высокой технической подготовкой, поскольку автор объявления обещает оказать помощь в прохождении собеседования.
При этом кандидатам на обещают около $3000 в месяц.
Джонс. Энди Джонс
Элдритч и Гарсия решили скормить агентам КНДР их собственные пилюли и создали мнимую личность - американского разработчика ПО по имени Энди Джонс (Andy Jones), а также воспользовались сервисом изолированных сред компании Any.Run, с помощью которого имитировалась работа множества ноутбуков («ноутбучной фермы»). В действительности это была honeypot-ловушка, позволившая записывать все действия противной стороны в режиме реального времени.
«Рекрутер» запросил от «Энди Джонса» круглосуточный доступ к его машине через AnyDesk, а затем сообщил, что, помимо резюме для отправки потенциальному работодателю, нужны также регистрационные данные, полное имя, визовый статус и адрес проживания мнимого «Энди Джонса». Позднее попросили и его номер полиса социального страхования для проведения проверки со стороны службы безопасности, добавив, что все аккаунты также должны быть проверены на предмет аутентичности.
За все услуги были обещаны 20% от будущей зарплаты, или 10%, если «Джонс» только предоставит свои данные и доступ к ноутбуку, а собеседование агент будет проходить самостоятельно.
Элдритч и Гарсия развернули сложную среду: окружение Any.Run работало из Германии, однако с помощью резидентных прокси оно было замаскировано под отдельный ноутбук, располагающийся в США.
Подключение было под полным контролем исследователей: в любой момент они могли сымитировать сбой в системе, оставляя, однако, подключение активным, так чтобы помешать ему предпринимать какие-либо вредоносные действия в отношении третьей стороны.
Агент подключился с помощью популярного у корейских «ИТ-работников» VPN-сервиса Astrill, и первым делом начал проверять (виртуальную) аппаратную составляющую машины, к которой подсоединился, проверил его местоположение и установил Google Chrome в качестве браузера по умолчанию.
Элдтрич и Гарсия старались как можно сильнее замедлить деятельность противника, время от времени имитируя сбои и удаляя программы, а также далеко не сразу отвечая на его сообщения. Все сбои они оправдывали «техническими проблемами» с настройками сети или VPN-службой, которой пользовался хакер.
В какой-то момент его поймали в цикл якобы неисправной CAPTCHA, и агент потратил больше часа на попытки войти в систему.
В ходе документирования его деятельности исследователи пронаблюдали использование противником множественных ИИ-инструментов - AIApply, Simplify Copilot, Final Round AI и Saved Prompts, - с помощью которых создавались резюме и заполнялись заявки на вакансии. Кроме того, LLM-система ChatGPT активно использовалась для генерации ответов в режиме реального времени при собеседовании.
Агент КНДР также использовал авторизованные расширения OTP, Google Remote Desktop и Gmail: в какой-то момент он включил режим синхронизации профиля, подтянув - на радость исследователям - свой почтовый ящик со всем содержимым, в том числе - многочисленные подписки на платформы по поиску работы, переписку в Slack и т.д.
В конечном счёте, как установили исследователи, Famous Chollima - это множество конкурирующих между собой команд по 6-10 человек. Та команда, чью деятельность документировали Элдтритч и Гарсия, насчитывает шесть человек. Любопытно, что они используют отнюдь не корейские имена - Матео, Хулиан, Аарон, Хесус, Себастьян и Альфредо.
«Стоит отметить, что это лишь очень маленькая часть северокорейской киберармии: её общая численность, по некоторым сведениям, сейчас превышает 8000 человек, - говорит Михаил Зайцев, эксперт по кибербезопасности компании SEQ. - Поскольку для изолированного режима они являются одним из ключевых источников финансовых средств и технологий, нет никаких предпосылок к снижению активности. Так что исследование их «полевой работы» - это ланные, необходимые для эффективной защиты от их атак».
Эксперт добавил, что не стоит забывать и о том, что киберагентура КНДР постоянно совершенствует свои методики, так что актуальность полученных исследователями данных может быть недолговечной.
Поделиться
Короткая ссылка
