Северокорейские угрозы, такие как Lazarus, печально известны тем, что используют изощренные методы для взлома правительственных сайтов и получения доступа к конфиденциальной информации, хранящейся на государственных серверах. Однако теперь исследователи безопасности утверждают, что хакеры из Отшельнического королевства украли миллиарды долларов в криптовалюте у наемных удаленных ИТ-работников, венчурных капиталистов и рекрутеров из крупных компаний.
Согласно недавнему отчету TechCrunch, исследователи безопасности на Cyberwarcon, ежегодной конференции, посвященной разрушительным угрозам в киберпространстве, предполагают, что хакеры из Новой Кореи выдавали себя за потенциальных сотрудников, которые хотят работать в транснациональных корпорациях. Их основной мотив - зарабатывать деньги для северокорейского правительства, похищая при этом корпоративные секреты в интересах программы ядерного оружия страны,
За последние десять лет северокорейские хакеры украли миллиарды долларов в криптовалюте. На выставке Cyberwarcon исследователь безопасности из Microsoft Джеймс Эллиотт заявил, что северокорейские ИТ-специалисты уже проникли в сотни, если не тысячи организаций по всему миру, используя поддельные документы. Эти работники полагаются на своих инструкторов в США, чтобы получить доступ к рабочим станциям и заработку в обход международных санкций, введенных странами по всему миру.
По данным Microsoft, группа под названием Ruby Sleet уже проникла в некоторые аэрокосмические и оборонные компании, чтобы финансировать программу ядерного оружия и навигационную систему Северной Кореи. В своем блоге технологический гигант также сообщил, что группа под названием Sapphire Sleet маскировалась под рекрутеров и венчурных капиталистов и нацеливалась на ничего не подозревающих жертв, устраивая виртуальные встречи.
Северокорейские хакеры, выдающие себя за венчурных капиталистов, заставляют своих жертв загрузить вредоносный инструмент, который поможет им исправить эти виртуальные встречи. Другие субъекты угроз, выдающие себя за рекрутеров, просят ничего не подозревающих кандидатов загрузить зараженные вредоносным ПО оценки для заражения их систем с целью кражи учетных данных криптовалютных кошельков. По данным Microsoft, за шесть месяцев эти угрожающие субъекты получили более 10 миллионов долларов.
Как северокорейские хакеры заманивают ИТ-компании, чтобы те наняли их?
Как выяснилось, типичная кампания северокорейских ИТ-работников включает в себя создание множества онлайн-аккаунтов на популярных платформах, таких как LinkedIn и GitHub, что позволяет им создать определенный профессиональный авторитет. Кроме того, эти угрожающие субъекты активно используют инструменты искусственного интеллекта, которые позволяют им менять лица и голоса.
Когда компания нанимает удаленного ИТ-работника, она отправляет его ноутбук по какому-то адресу в США, принадлежащему или арендованному посредником, главная обязанность которого - собирать грузы ноутбуков, выданных компанией. Этим посредникам также поручается установить программное обеспечение, позволяющее им получить удаленный доступ к системе, что в конечном итоге позволяет северокорейским угрозам входить в систему без необходимости раскрывать свое реальное местоположение.
Эти северокорейские угрозы также используют множество трюков, например, проверяют свои ложные личности на LinkedIn, используя адреса электронной почты тех самых компаний, в которых они работают, чтобы сделать свои профили легитимными.
Откуда исследователи безопасности все это знают?
Инженер Microsoft Джеймс Эллиотт рассказал, что однажды технологический гигант получил доступ к публичному хранилищу, принадлежавшему одному из северокорейских ИТ-специалистов, которое было наполнено электронными таблицами и документами, которые помогли им детально расшифровать кампанию.
В этих документах также содержалась куча фальшивых личностей и резюме, которые использовали угрожающие лица, чтобы быть нанятыми, а также сумма денег, которую они заработали на данный момент. По словам Эллиотта, эти репозитории представляют собой полноценные учебники по краже личных данных.
Исследователи безопасности заявили, что они также беседовали с северокорейским ИТ-работником, который выдавал себя за японца, и отметили, что этот человек использовал слова и фразы, которых не существует в этом языке. Этот IT-работник также утверждал, что у него есть банковский счет в Китае, но по его IP-адресу было установлено, что он из России.
За последние несколько лет правительство США уже вводило санкции против организаций, связанных с Северной Кореей. В этом году также были арестованы несколько человек, которые либо помогали этим угрожающим субъектам, либо управляли фермами ноутбуков, но, по мнению исследователей, проблему можно решить только путем более тщательной проверки потенциальных кандидатов.
Понравилась новость? Тогда не забудь оставить свой комментарий.
А так же, добавь наш сайт в закладки (нажми Ctrl+D), не теряй нас.
Комментарии