Північнокорейські хакери проникають у західні компанії під виглядом IT-фахівців

Північнокорейські хакери розгорнули масштабну операцію з проникнення до західних компаній під виглядом звичайних IT-фахівців. Використовуючи підроблені документи та складні схеми обману, вони влаштовуються на віддалену роботу до провідних технологічних компаній та стартапів, щоб викрадати конфіденційні дані та фінансувати ракетну програму КНДР.

За оцінками Міністерства фінансів США, Державного департаменту та ФБР, починаючи з 2018 року, північнокорейські IT-працівники щорічно заробляють від 250 до 600 мільйонів доларів на цій схемі. Ці кошти безпосередньо спрямовуються на фінансування програм озброєння Кім Чен Ина, включаючи розробку кібератак та балістичних ракет.

Компанія CrowdStrike, яка відстежує цю групу під назвою «Famous Chollima», повідомляє про значне розширення її діяльності. Лише у 2024 році група була причетна до 304 кіберінцидентів. Експерти попереджають, що використання штучного інтелекту лише посилює ефективність їхньої стратегії.

Схема роботи північнокорейських хакерів доволі проста, але ефективна. Вони використовують генеративний штучний інтелект для створення переконливих профілів у LinkedIn, формують команди для проходження технічних співбесід та користуються американськими «фермами ноутбуків» для підміни свого фізичного місцезнаходження. Після працевлаштування вони демонструють високу продуктивність, оскільки за одним екраном часто працює ціла команда фахівців.

Кіберзлочинці не обмежуються використанням фальшивих імен. За даними The Register, деякі кандидати просять надіслати робочі ноутбуки на альтернативні адреси, посилаючись на сімейні обставини. Насправді ці пристрої потрапляють до спеціальних «ферм» у США, де спільники допомагають підтримувати ілюзію місцевого працівника.

Спеціальний агент ФБР Елізабет Пелкер попереджає про серйозні наслідки такого проникнення. Хакери встигають зібрати логіни та паролі, встановити неактивоване шкідливе програмне забезпечення та намагаються отримати максимальну вигоду від жертви через шантаж.

Масштаби шахрайства можуть бути значно більшими, ніж здається на перший погляд. Ейдан Рейні, засновник Farnsworth Intelligence, провів власне розслідування, прикинувшись американцем. Він спілкувався з групою північнокорейців, які всі представлялися як «Бен». Вони запропонували створити фальшивий профіль у LinkedIn, провести підготовку до співбесід за допомогою програм віддаленого доступу та навіть модифікувати фотографію Рейні.

За допомогою цих шахраїв Рейні отримав реальну пропозицію роботи від підрядника уряду з річною зарплатнею 80 000 доларів. Він був змушений відмовитися та попередити компанію, оскільки вся його кандидатура була сфабрикована оперативниками режиму.

Дослідники Google відзначають, що північнокорейські оперативники тепер націлені не лише на американські, а й на британські та європейські компанії, особливо у сфері оборони та розробки штучного інтелекту. Був виявлений випадок, коли один північнокорейський агент діяв під 12 різними особами по всій Європі, переважно шукаючи роботу в урядових підрядників та оборонних компаніях.

Багато хто з них використовує платформи для фрілансерів, такі як Upwork або Freelancer, маючи на місцях помічників, які допомагають керувати обманом — від обслуговування ноутбуків до переказу криптовалютних платежів. Часто вони базуються в Росії та використовують її для відмивання грошей. Ці кошти іноді використовуються для інвестування у зброю та ракети, зокрема ті, що використовуються Росією для вторгнення в Україну.

Експерти з кібербезпеки виявили цікавий спосіб виявлення північнокорейських агентів під час співбесід. Достатньо поставити одне провокаційне запитання: «Наскільки товстий Кім Чен Ин?» Північнокорейські IT-працівники за кордоном ризикують отримати суворе покарання, якщо їх спіймають на критиці свого лідера, навіть у приватній розмові. За словами Адама Меєрса, старшого віце-президента з протидії противникам у CrowdStrike, це питання змушує підозрюваних північнокорейських оперативників миттєво припиняти співбесіду.

Гаррісон Леджіо, генеральний директор криптовалютної фірми g8keep, розповів Fortune, що завершує кожну співбесіду саме таким запитанням. За його оцінками, 95% резюме, які він отримує, надходять від північнокорейців, які видають себе за розробників зі США.

Для захисту від таких атак експерти рекомендують ретельно перевіряти особи кандидатів, проводити відеоспівбесіди в реальному часі, перевіряти геолокацію IP-адрес та порівнювати документи, що посвідчують особу, з селфі в реальному часі. Проте це може бути лише тимчасовим рішенням, оскільки північнокорейські хакери постійно вдосконалюють свої методи обману.