Szokujący raport Google. Zatrudnili programistów, a okazało się, że to szpiedzy
W najnowszym raporcie opublikowanym przez Google, ujawniono szokujące informacje: dziesiątki firm z listy Fortune 100 nieświadomie zatrudniły północnokoreańskich szpiegów.
Rekrutacja programisty może przerodzić się w międzynarodowy szpiegowski thriller. Okazuje się, że największe amerykańskie korporacje padły ofiarą skomplikowanej operacji przeprowadzonej przez hakerów z Korei Północnej. Dziesiątki firm z listy Fortune 100 zatrudniły pracowników, którzy w rzeczywistości byli tajnymi agentami obcego państwa.
Google poinformowało, że w ostatnim czasie z koncernem skontaktowało się kilka dużych amerykańskich firm, które odkryły, że nieświadomie zatrudniały Koreańczyków z Północy, posługując się fałszywymi tożsamościami. Zatrudnieni pracowali zdalnie jako programiści lub pracownicy IT.
UNC5267, czyli szpiedzy reżimu
W raporcie opublikowanym przez Mandiant, jednostkę Google zajmującą się cyberbezpieczeństwem, badacze opisują powszechny schemat opracowany przez grupę, którą śledzą, jako UNC5267. Jej misją jest zadobycie lukratywnych miejsc pracy w zachodnich firmach, zwłaszcza tych w amerykańskim sektorze technologicznym.
Agenci UNC5267 dostają pracę dzięki wykorzystaniu skradzionych lub sfałszowanych tożsamości. To za ich pomocą aplikują do pracy na różnych stanowiskach lub jako podwykonawcy. Operatorzy UNC5267 aplikowali głównie na stanowiska oferujące pracę w 100 proc. zdalną.
Celem UNC5267 jest przede wszystkim kradzież pieniędzy, utrzymywanie długoterminowego dostępu do sieci ofiar w celu potencjalnego wykorzystania finansowego w przyszłości oraz wykorzystanie dostępu do danych do celów szpiegowskich i wykradania technologii.
Więcej o cyberzagrożeniach przeczytasz na Spider`s Web:
Europa też zagrożona
Google podkreśla, że problem nie dotyczy tylko firm amerykańskich. Coraz większa liczba organizacji europejskich staje się celem ataków. Mandiant twierdzi, że zidentyfikował "znaczną liczbę CV pracowników IT z DPRK, które zostały użyte do ubiegania się o pracę zdalną w różnych firmach".
Badacze Mandiant odkryli też, że fałszywi pracownicy używali często tych samych CV, które zawierały linki do sfabrykowanych profili inżynierów oprogramowania umieszczonych na platformie Netlify, wykorzystywanej do szybkiego tworzenia i wdrażania stron internetowych.
Ataków będzie więcej
Biorąc pod uwagę wcześniejsze sukcesy UNC5267 i zależność reżimu Korei Północnej od cyberoperacji (czytaj - kradzieży pieniędzy i danych), które są jednym ze źródeł dochodów tego kraju, przewidywany jest dalszy wzrost liczby wyrafinowanych ataków i włamań wymierzonych w firmy na całym świecie.
Pracownicy IT Korei Północnej stanowią stałe i narastające zagrożenie cybernetyczne. Podwójne motywacje stojące za ich działaniami - realizacja celów państwowych i dążenie do osobistych korzyści finansowych - sprawiają, że są szczególnie niebezpieczni. Ich biegłość techniczna w połączeniu z wyrafinowanymi taktykami unikania stanowi ogromne wyzwanie, zwłaszcza dla zespołów HR i rekrutacyjnych, których zadaniem jest identyfikacja potencjalnych zagrożeń w trakcie procesu rekrutacji
- podaje Google w swoim raporcie.
Prawdziwe niebezpieczeństwo
Dwa lata temu FBI wydało ostrzeżenie skierowane do każdego, kto rekrutuje zdalnie pracowników, by uważać na potencjalnych kandydatów, którzy przy rozmowie kwalifikacyjnej wykorzystują deepfejki. Ogłoszenie to było poprzedzone innym - ostrzeżeniem o północnokoreańskich agentach, którzy próbują otrzymać pracę w sektorze IT na stanowiskach mających dostęp do wrażliwych danych przedsiębiorstw.
Koreańczycy są przy tym zachłanni. Nie jest niczym niezwykłym, że jedne szpieg IT z Korei Północnej pracuje na kilku etatach, otrzymując kilka pensji miesięcznie. Często też fałszywi pracownicy otrzymują wsparcie z USA.
Departament Sprawiedliwości w ostatnich miesiącach aresztował i oskarżył kilku obywateli USA za prowadzenie tych farm laptopów, a w jednym przypadku znalazł Amerykanina, który wykorzystał 60 skradzionych tożsamości, aby ułatwić zatrudnienie Koreańczykom z Północy w ponad 300 amerykańskich firmach.
Od października 2020 r. do października 2023 r. zarobili oni 6,8 mln dol., a przed amerykańskim wymiarem sprawiedliwości toczy się największe w historii postępowanie w sprawie nielegalnego zatrudniania pracowników IT z zagranicy - pisała o tym niedawno Malwina.
Zatrudnienie pracownika z Korei Północnej to poważne zagrożenie dla bezpieczeństwa każdej firmy. Choć może wydawać się to nieprawdopodobne, ten problem dotyka coraz więcej organizacji na całym świecie.
Aby skutecznie się przed nim zabezpieczyć, eksperci z Mandiant zalecają firmom wprowadzenie rygorystycznych procedur weryfikacyjnych podczas rekrutacji zdalnych pracowników.
Zweryfikuj też numery telefonów, aby zidentyfikować numery telefonów Voice over Internet Protocol (VoIP). Używanie numerów telefonów VoIP jest powszechną taktyką stosowaną przez UNC5267. Monitoruj korzystanie z usług VPN do łączenia się z infrastrukturą korporacyjną. Adresy IP powiązane z usługami VPN, takimi jak Astrill VPN, powinny zostać dodatkowo sprawdzone.
