Північнокорейські хакери обманом намагаються знайти роботу в західних компаніях

• Тарас Міщенко
• 30.05.2022
• Категорії: Статті
• Теги: Інтернет, Кібербезпека

Пропонуємо вашій увазі переклад статті Wired про те, як північнокорейські хакери намагаються обманом влаштуватися на роботу в західні компанії.

Понад 10 років північнокорейські хакери та цифрові шахраї безконтрольно розкрадали сотні мільйонів доларів, збираючи кошти для «королівства відлюдників», і часто залишаючи за собою хаос. Але хоча Сполучені Штати та інші уряди регулярно викривають Північну Корею після цифрових шпигунських операцій і висувають звинувачення проти їхніх хакерів, це виявилося важче зробити для шахрайських схем та спекуляцій. Північна Корея роками перебувала під широкими санкціями з боку США та інших урядів, але зусилля, спрямовані на викриття фінансових злочинів режиму, наштовхнулися на перешкоди.

Минулого тижня Міністерство фінансів США, Держдепартамент і Федеральне бюро розслідувань спільно випустили 16-сторінкове попередження, що звертає увагу компаній на шахрайство, в якому північнокорейські ІТ-спеціалісти відгукуються на вакансії фрілансерів — часто від багатих компаній Північної Америки, Європи та Східної Азії. Таким чином вони намагаються отримати дохід для своєї країни.

Такі кандидати видають себе за ІТ-працівників інших національностей, прикидаючись віддаленими спеціалістами з Південної Кореї, Китаю, Японії, Східної Європи чи США. У попередженні зазначається, що тисячі північнокорейських ІТ-працівників підписують такі контракти. Деякі ведуть свою роботу з самої Північної Кореї, а інші працюють за кордоном, переважно з Китаю та Росії, з невеликими контингентами в Південно-Східній Азії та Африці. У деяких випадках північнокорейські шахраї самі укладають субпідряд з іншими більш законними працівниками, щоб підвищити довіру до них.

«ІТ-працівники КНДР можуть окремо заробляти понад $300 000 на рік у деяких випадках, а команди ІТ-працівників можуть спільно заробляти понад $3 мільйони на рік», – йдеться у повідомленні. «ІТ-спеціалісти КНДР забезпечують важливий потік доходів, які допомагають фінансувати найвищі пріоритети режиму КНДР у сфері економіки та безпеки, такі як його програма розробки зброї».

Коли американські компанії несвідомо укладають контракти з північнокорейцями, вони порушують урядові санкції та стикаються з юридичним ризиком. Але боротися з шахрайством досить складно, оскільки працівники зазвичай виконують завдання, щоб отримати компенсацію. Якщо не проявляти пильність, компанії можуть і не дізнатися, що відбувається щось темне.

У попередженні наголошується, що хоча компанії повинні знати про цю проблему, щоб дотримуватися санкцій, північнокорейські ІТ-підрядники також іноді використовують свій доступ для встановлення шкідливих програм і сприяють шпигунству та крадіжці інтелектуальної власності.

«Було багато випадків, коли північнокорейські хакери брали участь у співбесіді на роботу та використовували це, щоб спробувати в кінцевому підсумку розгорнути шкідливе програмне забезпечення або проникнути в середовище», – каже Адам Мейерс, віцепрезидент з розвідки компанії з кібербезпеки CrowdStrike. «Причина, чому це важливо, полягає в тому, що багато людей не розглядають цю загрозу або списують її як: «О, Північна Корея, вони божевільні. Вони не просунуті». І якщо ви розмовляєте з реальною людиною, здається, що в цьому не може бути кіберзагрози, але ці операції з людьми якраз те, що північнокорейці дуже добре навчилися робити, тому привернути увагу до цього питання дійсно важливо».

ІТ-спеціалісти з Північної Кореї пройшли ретельну підготовку, що ускладнює виявлення, і в повідомленні зазначається, що вони розробляють програмне забезпечення, вебсайти та інші платформи для різних секторів, включаючи здоров’я та фітнес, соціальні мережі, спорт, розваги та спосіб життя, а також працюють з криптовалютою та децентралізованими фінансами. Такі співробітники мають досвід роботи з ІТ-підтримкою та управлінням базами даних, створення мобільних та вебдодатків, розробки криптовалютних платформ, роботи зі штучним інтелектом та віртуальною реальністю чи доповненою реальністю, а також розробкою інструментів розпізнавання обличчя та біометричної аутентифікації.

У попередженні перелічено низку «індикаторів червоного прапора» шахрайства північнокорейських ІТ-працівників. Багато з них збігаються із загальними найкращими методами уникнення шахрайства в інтернеті, як-от відстеження незвичайних логінів або IP-адрес, а також підрядників, які використовують підозрілі цифрові облікові записи для збору платежів або вимагають оплати в криптовалюті, подають шаблонні, а не персоналізовані, заяви та документи та мають ідеальні відгуки на вебсайтах по з пошуку роботи, які були написані за короткий проміжок часу.

Спеціалісти з реагування на інциденти відзначають, що хоча попередження уряду США пропонує корисний рівень деталізації та прозорості, потенційним жертвам все ще важко відповісти на цю загрозу змістовно.

«Питання завжди в тому, чия відповідальність за захист від цих атак? Це стосується окремих осіб і компаній, яким часто дуже не вистачає можливості отримувати подібну інформацію та вносити практичні покращення», – говорить Девід Кеннеді, генеральний директор консультаційної компанії TrustedSec з реагування на корпоративні інциденти. «Великі компанії, які мають спеціальні групи безпеки, можуть використовувати ці попередження, але я справді відчуваю, що потрібно перейти до безпеки для всіх і допомогти меншим організаціям займати оборонні позиції».

Попередження та інші нещодавні розкриття урядом інформації про північнокорейських хакерів та фінансові злочини сприяють підвищенню обізнаності та, ймовірно, вказують на те, що ця діяльність є реальною та невідкладною загрозою. Але, як каже Джейк Вільямс, директор відділу розвідки кіберзагроз у безпековій фірмі Scythe: «Я вважаю, що вони навмисно нечіткі в рекомендаціях. Чим точніше вони звертаються до бізнесів, тим легше останнім сказати, що вони дотримувалися букви інструкцій і, отже, не несуть ніякої відповідальності».

Північна Корея хакнула його. Він у відповідь відключив їй інтернет