Если ваш удаленный сотрудник настаивает на использовании собственных устройств, не появляется на веб-камере и часто меняет платежные системы, возможно, вы случайно наняли северокорейского агента.
Таковы некоторые из тактик, используемых злоумышленниками, стоящими за группой, которую Secureworks называет Nickel Tapestry, известной тем, что она внедряет подставных ИТ-специалистов в западные коммерческие компании с целью сбора средств на ядерную программу Северной Кореи, согласно новому исследованию Secureworks.
Результаты, основанные на многочисленных инцидентах реагирования, раскрывают ряд тактик, используемых группировкой для проникновения в компании в США, Великобритании и Австралии в интересах Северной Кореи, часто в коммерческих целях. Хотя имена пострадавших компаний не разглашаются, исследование выявляет общие модели поведения и методы, которые могут помочь специалистам по кибербезопасности выявлять потенциальных самозванцев.
В большинстве случаев главной целью этих схем было простое получение зарплаты как можно дольше, деньги, которые, по словам федеральных властей и других экспертов, обычно идут непосредственно на финансирование северокорейской ядерной программы. Однако, по данным Secureworks, подобные схемы иногда перерастали в более масштабные попытки кражи данных об интеллектуальной собственности или вымогательства у компаний более крупных сумм.
В одном случае наёмный работник использовал инфраструктуру виртуальных рабочих столов своего работодателя для доступа к конфиденциальным данным и их кражи. Когда его в конце концов уволили за низкую производительность, он попытался вернуть компании украденные данные, получив выкуп в размере сотен тысяч долларов в криптовалюте.
Компания Secureworks также отметила, что группа прилагала значительные усилия, чтобы избежать использования корпоративных ноутбуков, скрывая при этом своё реальное местоположение. В некоторых случаях сотрудники запрашивали разрешение на использование своих личных ноутбуков или инфраструктуры виртуальных рабочих столов. Другие просто меняли адрес доставки, чтобы отправить своё рабочее устройство на ферму ноутбуков, замаскированную под IP-адресом в США. Этот приём также упоминался в прошлогоднем бюллетене ФБР.
Когда их заставляли использовать корпоративные рабочие устройства, заводы часто ссылались на технические проблемы, чтобы не появляться на веб-камерах во время рабочих встреч. Также есть свидетельства того, что некоторые использовали программное обеспечение для виртуального клонирования видео и другие инструменты.
«На основании этих наблюдений весьма вероятно, что группа злоумышленников экспериментирует с различными методами удовлетворения запросов компаний на включение видеозвонков», — пишет исследовательская группа подразделения по борьбе с угрозами компании Secureworks.
Группа также создала целые поддельные сети сотрудников и компаний, чтобы предоставлять оперативникам рекомендации с работы, перенаправлять платежи и, как минимум в одном случае, заменять других оперативников после их увольнения или ухода из компании. Зачастую эти оперативники используют схожие форматы электронных писем и резюме или используют разные стили письма, что указывает на то, что за каждой личностью может стоять несколько оперативников.
Чтобы избежать обнаружения банками, эти работники иногда быстро пополняли свои банковские счета или использовали цифровые платёжные сервисы, такие как Payoneer. Представитель Payoneer сообщил CyberScoop, что компания «активно борется» с угрозой финансовых преступлений, совершаемых северокорейскими агентами, выдающими себя за IT-специалистов, и продолжает «тесно сотрудничать с регулирующими органами и правоохранительными органами на постоянной основе».
Другие распространенные особенности поведения, связанные с активистами предвыборных кампаний, включали указание 8–10 лет опыта работы, общение в неурочное время суток, не соответствующее указанному местоположению или часовому поясу, демонстрацию начального или среднего уровня владения английским языком и то, что они говорили «из колл-центра».
Хотя каждое из этих действий, как правило, безвредно и распространено среди удаленных ИТ-работников по всему миру, в совокупности они могут указывать на то, что компания неосознанно наняла северокорейского агента.
Из-за международных санкций, ограничивающих традиционные направления бизнеса, Северная Корея все чаще прибегает к киберпреступности и операциям, подобным Nickel Tapestry, для финансирования своих военных и оружейных программ.
В 2022 году ФБР, Министерство финансов и Госдепартамент США опубликовали публичное предупреждение, назвав северокорейскую программу инфильтрации IT-специалистов «важнейшим источником дохода» для режима. Сотрудники западных компаний, которые фактически базируются в Китае или России, могут зарабатывать до 300 000 долларов в год, а зачастую и в 10 раз больше, чем они могли бы получать, будучи среднестатистическим рабочим на заводе или стройке в Северной Корее.
Лидер Северной Кореи Ким Чен Ын вложил значительные средства в ИТ-инфраструктуру внутри страны, которая используется для развития навыков, необходимых для трудоустройства за рубежом, включая создание серьезных программ получения степени в области ИТ в Северной Корее и обучение в региональных исследовательских центрах в области ИТ за рубежом.
Эксперты по кибербезопасности считают, что эта практика распространена шире, чем думает общественность. Исследователи Mandiant и Google Cloud в прошлом месяце заявили , что эти сотрудники часто работают по совместительству в разных организациях и имеют высокий уровень доступа к производственным системам и исходному коду, что потенциально способствует кибератакам на инфраструктуру компании в будущем.
«Я общался с десятками организаций из списка Fortune 100, которые случайно наняли северокорейских ИТ-специалистов», — заявил в прошлом месяце Чарльз Кармакал, главный технический директор компании.
Таковы некоторые из тактик, используемых злоумышленниками, стоящими за группой, которую Secureworks называет Nickel Tapestry, известной тем, что она внедряет подставных ИТ-специалистов в западные коммерческие компании с целью сбора средств на ядерную программу Северной Кореи, согласно новому исследованию Secureworks.
Результаты, основанные на многочисленных инцидентах реагирования, раскрывают ряд тактик, используемых группировкой для проникновения в компании в США, Великобритании и Австралии в интересах Северной Кореи, часто в коммерческих целях. Хотя имена пострадавших компаний не разглашаются, исследование выявляет общие модели поведения и методы, которые могут помочь специалистам по кибербезопасности выявлять потенциальных самозванцев.
В большинстве случаев главной целью этих схем было простое получение зарплаты как можно дольше, деньги, которые, по словам федеральных властей и других экспертов, обычно идут непосредственно на финансирование северокорейской ядерной программы. Однако, по данным Secureworks, подобные схемы иногда перерастали в более масштабные попытки кражи данных об интеллектуальной собственности или вымогательства у компаний более крупных сумм.
В одном случае наёмный работник использовал инфраструктуру виртуальных рабочих столов своего работодателя для доступа к конфиденциальным данным и их кражи. Когда его в конце концов уволили за низкую производительность, он попытался вернуть компании украденные данные, получив выкуп в размере сотен тысяч долларов в криптовалюте.
Компания Secureworks также отметила, что группа прилагала значительные усилия, чтобы избежать использования корпоративных ноутбуков, скрывая при этом своё реальное местоположение. В некоторых случаях сотрудники запрашивали разрешение на использование своих личных ноутбуков или инфраструктуры виртуальных рабочих столов. Другие просто меняли адрес доставки, чтобы отправить своё рабочее устройство на ферму ноутбуков, замаскированную под IP-адресом в США. Этот приём также упоминался в прошлогоднем бюллетене ФБР.
Когда их заставляли использовать корпоративные рабочие устройства, заводы часто ссылались на технические проблемы, чтобы не появляться на веб-камерах во время рабочих встреч. Также есть свидетельства того, что некоторые использовали программное обеспечение для виртуального клонирования видео и другие инструменты.
«На основании этих наблюдений весьма вероятно, что группа злоумышленников экспериментирует с различными методами удовлетворения запросов компаний на включение видеозвонков», — пишет исследовательская группа подразделения по борьбе с угрозами компании Secureworks.
Группа также создала целые поддельные сети сотрудников и компаний, чтобы предоставлять оперативникам рекомендации с работы, перенаправлять платежи и, как минимум в одном случае, заменять других оперативников после их увольнения или ухода из компании. Зачастую эти оперативники используют схожие форматы электронных писем и резюме или используют разные стили письма, что указывает на то, что за каждой личностью может стоять несколько оперативников.
Чтобы избежать обнаружения банками, эти работники иногда быстро пополняли свои банковские счета или использовали цифровые платёжные сервисы, такие как Payoneer. Представитель Payoneer сообщил CyberScoop, что компания «активно борется» с угрозой финансовых преступлений, совершаемых северокорейскими агентами, выдающими себя за IT-специалистов, и продолжает «тесно сотрудничать с регулирующими органами и правоохранительными органами на постоянной основе».
Другие распространенные особенности поведения, связанные с активистами предвыборных кампаний, включали указание 8–10 лет опыта работы, общение в неурочное время суток, не соответствующее указанному местоположению или часовому поясу, демонстрацию начального или среднего уровня владения английским языком и то, что они говорили «из колл-центра».
Хотя каждое из этих действий, как правило, безвредно и распространено среди удаленных ИТ-работников по всему миру, в совокупности они могут указывать на то, что компания неосознанно наняла северокорейского агента.
Из-за международных санкций, ограничивающих традиционные направления бизнеса, Северная Корея все чаще прибегает к киберпреступности и операциям, подобным Nickel Tapestry, для финансирования своих военных и оружейных программ.
В 2022 году ФБР, Министерство финансов и Госдепартамент США опубликовали публичное предупреждение, назвав северокорейскую программу инфильтрации IT-специалистов «важнейшим источником дохода» для режима. Сотрудники западных компаний, которые фактически базируются в Китае или России, могут зарабатывать до 300 000 долларов в год, а зачастую и в 10 раз больше, чем они могли бы получать, будучи среднестатистическим рабочим на заводе или стройке в Северной Корее.
Лидер Северной Кореи Ким Чен Ын вложил значительные средства в ИТ-инфраструктуру внутри страны, которая используется для развития навыков, необходимых для трудоустройства за рубежом, включая создание серьезных программ получения степени в области ИТ в Северной Корее и обучение в региональных исследовательских центрах в области ИТ за рубежом.
Эксперты по кибербезопасности считают, что эта практика распространена шире, чем думает общественность. Исследователи Mandiant и Google Cloud в прошлом месяце заявили , что эти сотрудники часто работают по совместительству в разных организациях и имеют высокий уровень доступа к производственным системам и исходному коду, что потенциально способствует кибератакам на инфраструктуру компании в будущем.
«Я общался с десятками организаций из списка Fortune 100, которые случайно наняли северокорейских ИТ-специалистов», — заявил в прошлом месяце Чарльз Кармакал, главный технический директор компании.
