ИТ-специалисты Северной Кореи меняют стратегии и нанимают фрилансеров для предоставления прокси-идентификаторов для удаленной работы.

Сотрудники связываются с соискателями на Upwork, Freelancer и GitHub, а затем переводят разговоры в Telegram или Discord, где обучают их настройке программного обеспечения для удаленного доступа и прохождению проверки личности.

В более ранних случаях северокорейские рабочие устраивались на удаленные работы, используя сфабрикованные удостоверения личности. По словам Хайнера Гарсиа, эксперта по разведке киберугроз в Telefónica и исследователя безопасности блокчейна, оперативники теперь обходят эти барьеры, работая через проверенных пользователей, которые передают удаленный доступ к своим компьютерам.

Реальные владельцы личностей получают лишь пятую часть зарплаты, а остальные средства перенаправляются оперативникам через криптовалюты или даже традиционные банковские счета. Опираясь на реальные личности и локальные подключения к Интернету, оперативники могут обходить системы, предназначенные для обнаружения географических регионов с высоким уровнем риска и VPN.

Процесс вербовки позволяет оперативникам сохранять постоянный доступ к личным данным и переходить к новым при обнаружении. Источник: Хайнер Гарсия/SEAL.

Из развивающейся схемы набора северокорейских ИТ-специалистов

Ранее в этом году Гарсиа создал фиктивную криптокомпанию и вместе с Cointelegraph взял интервью у подозреваемого северокорейского оперативника, ищущего удаленную техническую роль. Кандидат заявил, что он японец, но внезапно прервал разговор, когда его попросили представиться по-японски.

Гарсия продолжил разговор в личных сообщениях. Подозреваемый оперативник попросил его купить компьютер и обеспечить удаленный доступ.

Запрос соответствовал шаблонам, с которыми позже столкнулся Гарсия. Доказательства, связанные с подозрительными профилями, включали в себя презентации, сценарии набора персонала и документы, удостоверяющие личность, «используемые повторно снова и снова».

Связанный: Северокорейский шпион ошибся и раскрыл связи на фейковом собеседовании

Гарсия сказал Cointelegraph:

Они устанавливают AnyDesk или Chrome Remote Desktop и работают с компьютера жертвы, поэтому платформа видит внутренний IP-адрес».

Люди, передающие свои компьютеры, «являются жертвами», добавил он. «Они не знают. Они думают, что присоединяются к обычному субподрядному соглашению».

Криптовалюты, Киберпреступность, Северная Корея, Преступления, Кибербезопасность
В цепочке электронных писем показано, как осуществляется набор персонала через платформу для фрилансеров. Источник: Хайнер Гарсия/SEAL.

Согласно журналам чатов, которые он просмотрел, новобранцы задают основные вопросы, такие как «Как мы будем зарабатывать деньги?» и не выполнять никаких технических работ самостоятельно. Они проверяют учетные записи, устанавливают программное обеспечение для удаленного доступа и поддерживают устройство в сети, пока сотрудники подают заявки на работу, разговаривают с клиентами и выполняют работу под своими именами.

Хотя большинство из них кажутся «жертвами», не знающими, с кем они взаимодействуют, некоторые, похоже, точно знают, что делают.

В августе 2024 года Министерство юстиции США арестовало Мэтью Исаака Кнута из Нэшвилла за управление «фермой ноутбуков», которая позволяла северокорейским ИТ-специалистам выдавать себя за американских сотрудников, используя украденные личные данные.

Совсем недавно в Аризоне Кристина Мари Чепмен была приговорена к более чем восьми годам тюремного заключения за организацию аналогичной операции, в результате которой в Северную Корею было направлено более 17 миллионов долларов.

Криптовалюты, Киберпреступность, Северная Корея, Преступления, Кибербезопасность
Ферма ноутбуков Чепмена обманула более 300 американских компаний. Источник: Управление по связям с общественностью

Модель набора персонала, построенная на уязвимости

Наиболее ценные новобранцы находятся в США, Европе и некоторых частях Азии, где проверенные учетные записи обеспечивают доступ к дорогостоящим корпоративным вакансиям и меньшие географические ограничения. Но Гарсия также обнаружил документы, принадлежащие лицам из регионов с экономической нестабильностью, таких как Украина и Юго-Восточная Азия.

«Они нацелены на людей с низкими доходами. Они нацелены на уязвимых людей», — сказал Гарсия. «Я даже видел, как они пытались охватить людей с ограниченными возможностями».

Криптовалюты, Киберпреступность, Северная Корея, Преступления, Кибербезопасность
Доказательства электронной почты показывают, что оперативники нацелены на профессионалов с ограниченными возможностями. Источник: Хайнер Гарсия./ТЮЛЕНЬ

Северная Корея потратила годы на проникновение в технологическую и криптоиндустрию, чтобы получить доход и закрепиться за рубежом. Организация Объединенных Наций заявила, что ИТ-работа КНДР и кража криптовалюты предположительно финансируют программы страны по производству ракет и вооружений.

Гарсия сказал, что эта тактика выходит за рамки криптовалют. В одном случае, который он рассмотрел, рабочий из КНДР использовал украденное удостоверение личности из США, чтобы представиться архитектором из Иллинойса, подавая заявки на строительные проекты на Upwork. Их клиент получил завершенную проектную работу.

Несмотря на то, что основное внимание уделяется отмыванию криптовалюты, исследование Гарсиа показало, что традиционные финансовые каналы также подвергаются злоупотреблениям. Та же самая модель идентификации позволяет злоумышленникам получать банковские платежи под законными именами.

Криптовалюты, Киберпреступность, Северная Корея, Преступления, Кибербезопасность
Подозреваемый оперативник требует оплату на банковский счет после завершения внештатной работы. Источник: Хайнер Гарсия.

«Это не только криптовалюта», — сказал Гарсия. «Они делают все — архитектуру, дизайн, поддержку клиентов, все, к чему у них есть доступ».

Почему платформам до сих пор сложно определить, кто действительно работает

Несмотря на то, что группы по найму становятся все более внимательными к риску, связанному с тем, что северокорейские оперативники обеспечивают безопасность удаленных должностей, обнаружение обычно происходит только после того, как необычное поведение вызывает красные флажки. Когда учетная запись взломана, злоумышленники переходят на новую личность и продолжают работать.

В одном случае, согласно просмотренным журналам чата, после того как профиль Upwork был заблокирован из-за чрезмерной активности, оперативник поручил новобранцу попросить члена семьи открыть следующую учетную запись.

Криптовалюты, Киберпреступность, Северная Корея, Преступления, Кибербезопасность
Поставщика учетных записей «Ана» просят подключить членов семьи для создания новых учетных записей. Источник: Хайнер Гарсия.

Такая смена личностей затрудняет как подотчетность, так и установление виновных. Человек, чье имя и документы указаны в аккаунте, часто обманывают, в то время как человек, фактически выполняющий работу, работает из другой страны и никогда не виден напрямую платформам фрилансеров или клиентам.

Сила этой модели в том, что все, что видит система соответствия, выглядит законным. Личность реальна, а подключение к Интернету локальное. На бумаге работник отвечает всем требованиям, но человек за клавиатурой — совершенно другой человек.

Гарсиа сказал, что самым явным тревожным сигналом является любой запрос на установку инструментов удаленного доступа или разрешение кому-либо «работать» с вашей подтвержденной учетной записи. Законный процесс найма не требует контроля вашего устройства или личности.

Журнал: Bitcoin OG Кайл Шассе в одном ударе от постоянного бана на YouTube