По данным инсайдерской компании по управлению рисками DTEX, граждане Северной Кореи проникли в бизнес по всему миру, имея более широкий уровень организации и глубокий доступ, чем считалось ранее, сообщает CyberScoop.
Эта группа северокорейских технических экспертов не просто внедряется в бизнес в качестве внештатных ИТ-специалистов; они получили постоянную работу в качестве инженеров и специалистов различных навыков с наивысшим уровнем доступа к корпоративным системам.
«Мы работаем со значительным числом организаций из списка Fortune Global 2000, и сейчас мы активно расследуем 7% наших клиентов», — заявил в интервью Мохан Ку, соучредитель и президент DTEX. У DTEX несколько сотен клиентов, и, по оценкам компании, тысячи организаций критической инфраструктуры подверглись атакам северокорейских агентов.
«Некоторые из ролей, которые мы расследуем, лазутчики, которых мы расследуем прямо сейчас, фактически получили ключи от королевства», — сказал Ку. «У них есть привилегированные права доступа. Они могут предоставлять и запрещать доступ другим сотрудникам. Они могут устанавливать и удалять программное обеспечение. Они могут писать код».
Продолжающееся расследование DTEX показывает, что многолетняя схема северокорейского режима выходит далеко за рамки контрактной работы и охватывает должности, выходящие за рамки традиционных IT-специалистов. Министерства юстиции и финансов США вынесли обвинительные заключения и ввели санкции в отношении лиц и организаций, предположительно причастных к попыткам Северной Кореи отправить тысячи технических специалистов за пределы страны для получения внештатной работы под ложным предлогом и переправить их заработную плату обратно в Пхеньян.
Многие специалисты по борьбе с киберугрозами зафиксировали всплеск инсайдерской активности, связанной с Северной Кореей. Адам Майерс, руководитель отдела по борьбе с киберпреступниками CrowdStrike, в прошлом месяце заявил, что «огромное количество компаний» неосознанно наняли северокорейцев на должности технических специалистов.
Почти 40% случаев реагирования на инциденты, связанных с поддерживаемой государством северокорейской группировкой, которую CrowdStrike отслеживает как Famous Chollima, были связаны с внутренними угрозами. В прошлом году внутренние угрозы составили 5% случаев реагирования на инциденты, связанные с подразделением 42 компании Palo Alto Networks, а число случаев, связанных с Северной Кореей, утроилось в 2024 году.
Зачастую организации неосознанно нанимают сразу нескольких граждан Северной Кореи. «Обычно это не один человек», — сказал Роб Шуэтт, директор отдела инсайдерской разведки DTEX.
«Один компромисс — это только начало», — сказал он. «Это как нашествие насекомых в доме. Вы видите одно насекомое и, возможно, можете обработать его химикатами и избавиться от него или вынести на улицу. Однако вы знаете, что в стенах, в трещинах и щелях скрывается более серьёзная проблема».
Они переходят в среду инфраструктуры виртуальных рабочих столов, используя доступ, предоставленный одним субъектом, для передачи его третьей стороне, часто доверенному партнеру.
«Это создает целую угрозу проникновения в цепочку поставок, и это очень, очень сложная проблема», — сказал Ку.
По словам Ку, расследование DTEX инсайдерских угроз, поддерживаемых Северной Кореей, пришло к «тревожному выводу». Это шокирующая реальность, свидетельствующая о том, что масштаб известных угроз широко распространен и, вероятно, более распространен, чем было подтверждено на данный момент.
«Мы ловим только самых глупых, тех, кто допускает ошибки в плане безопасности, и они рыщут в местах, о внедрении которых мы и не подозревали», — сказал Шуэтт. Это означает, что северокорейские технические специалисты, вероятно, одновременно работают в десятках организаций, в которых они были внедрены, в том числе и в тех, где они не работают.
Граждане Северной Кореи также устанавливают различные инструменты удаленного доступа, которые одобрены к использованию и часто внедряются в типичные мероприятия по адаптации новых сотрудников, когда большинство из них настраиваются и получают первоначальный доступ к рабочим системам.
«Они используют определённую личность и конкретного человека для трудоустройства, и набор навыков этого человека специально предназначен для трудоустройства в организацию», — сказал Ку. «Но как только они получают работу, это всего лишь право доступа, и затем они используют эти удалённые инструменты, чтобы дать возможность другим выполнять работу».
Когда несколько человек выполняют задачи, порученные одному человеку, и ему помогают тысячи экспертов в любой области, эти сотрудники могут стать настоящими звёздами в глазах своего работодателя. Организации кажется, что их лучший сотрудник выполняет непомерный объём работы.
Тем не менее, DTEX обнаружила несколько тревожных сигналов, начав отслеживать предполагаемую деятельность северокорейских рабочих на их рабочих машинах.
«То, что мы видим с работником КНДР, совершенно аномально по сравнению со всеми остальными. Это означает, что время входа в систему занимает чрезвычайно много времени, а затем нет никакой активности выхода из системы», — сказал Шуэтт.
«Они будут запускаться невыносимо много раз, чтобы человек мог выдержать это время, так что пройдет четыре-пять дней, прежде чем вы увидите очередной выход из системы, если вообще увидите его», — сказал он.
Этот невообразимо высокий уровень производительности достигается за счёт того, что северокорейские работники открывают удалённые сеансы и делятся своим рабочим столом с другими предполагаемыми сообщниками, обладающими схожими навыками. Всплески активности объясняются периодами передачи дел, переходом от одной смены к другой или работой нескольких человек бок о бок, дублируя друг друга.
В то время как среднее время между входом в систему и выходом из нее северокорейских сотрудников или разблокировкой и блокировкой машин составляет шесть-семь дней, DTEX зафиксировал один случай неустанной активности, которая продолжалась три недели.
По данным Unit 42, северокорейские технические специалисты приносят северокорейскому режиму сотни миллионов долларов.
Потенциал для последующей деятельности, включая шпионаж, вымогательство и подрывные атаки на критически важную инфраструктуру, огромен.
«Наивность, с которой мы все думаем, что это всё, на что они способны, — это просто смешно», — сказал Ку. «Мы должны быть бдительны, потому что, когда они решат использовать оружие другим способом, у них появится возможность сделать это».
Хотя это остается гипотезой, Ку сказал, что «немыслимо» думать, что северокорейские технические специалисты, работающие на неизвестное количество предприятий по всему миру, в какой-то момент не установят бэкдор, не отключат критическую инфраструктуру или не совершат иную диверсию.
«Для этого просто нужен правильный момент времени, когда у них появится мотивация сделать это», — сказал он.
Специалисты по безопасности признают, что организациям сложно выявить потенциальную внутреннюю угрозу среди соискателей работы, но не невозможно.
Требование к кандидатам на удалённую работу присутствовать на видео и предъявлять удостоверение личности государственного образца — хорошая практика, но не абсолютная. По словам Шуэтта, наблюдение за тем, что люди делают на камеру — отводят взгляд, возможно, следуют подсказкам другого человека, помогающего им на собеседовании, — может дать ценную информацию.
«Мы видим других людей в комнате, которые проходят собеседование», — сказал Шуэтт. «Не знаю, как вы, но когда я устраиваюсь на работу, я, скорее всего, не делаю этого в Starbucks или каком-либо другом общественном месте».
Другими потенциальными признаками являются длительные паузы и непоследовательности в резюме кандидатов, например, заявления о наличии у них опыта в области технологий до того, как они стали широко развиты и стали широко доступны.
Специалисты по кадрам и рекрутеры — первая линия обороны от северокорейских инсайдерских угроз. Но даже если им удастся пройти этот этап и принять на работу, компании всё равно смогут обращать внимание на специфические особенности, такие как отсутствие коммуникации на встречах, в электронной почте или на платформах для совместной работы, чтобы выявить потенциальные проблемы.
Северокорейские технические специалисты «не спрашивают, как ваш ребёнок вчера играл в футбол», — сказал Шуэтт. «Они не рассказывают о новом крутом ресторане, который нашли, потому что не могут».
Эта группа северокорейских технических экспертов не просто внедряется в бизнес в качестве внештатных ИТ-специалистов; они получили постоянную работу в качестве инженеров и специалистов различных навыков с наивысшим уровнем доступа к корпоративным системам.
«Мы работаем со значительным числом организаций из списка Fortune Global 2000, и сейчас мы активно расследуем 7% наших клиентов», — заявил в интервью Мохан Ку, соучредитель и президент DTEX. У DTEX несколько сотен клиентов, и, по оценкам компании, тысячи организаций критической инфраструктуры подверглись атакам северокорейских агентов.
«Некоторые из ролей, которые мы расследуем, лазутчики, которых мы расследуем прямо сейчас, фактически получили ключи от королевства», — сказал Ку. «У них есть привилегированные права доступа. Они могут предоставлять и запрещать доступ другим сотрудникам. Они могут устанавливать и удалять программное обеспечение. Они могут писать код».
Продолжающееся расследование DTEX показывает, что многолетняя схема северокорейского режима выходит далеко за рамки контрактной работы и охватывает должности, выходящие за рамки традиционных IT-специалистов. Министерства юстиции и финансов США вынесли обвинительные заключения и ввели санкции в отношении лиц и организаций, предположительно причастных к попыткам Северной Кореи отправить тысячи технических специалистов за пределы страны для получения внештатной работы под ложным предлогом и переправить их заработную плату обратно в Пхеньян.
Многие специалисты по борьбе с киберугрозами зафиксировали всплеск инсайдерской активности, связанной с Северной Кореей. Адам Майерс, руководитель отдела по борьбе с киберпреступниками CrowdStrike, в прошлом месяце заявил, что «огромное количество компаний» неосознанно наняли северокорейцев на должности технических специалистов.
Почти 40% случаев реагирования на инциденты, связанных с поддерживаемой государством северокорейской группировкой, которую CrowdStrike отслеживает как Famous Chollima, были связаны с внутренними угрозами. В прошлом году внутренние угрозы составили 5% случаев реагирования на инциденты, связанные с подразделением 42 компании Palo Alto Networks, а число случаев, связанных с Северной Кореей, утроилось в 2024 году.
Зачастую организации неосознанно нанимают сразу нескольких граждан Северной Кореи. «Обычно это не один человек», — сказал Роб Шуэтт, директор отдела инсайдерской разведки DTEX.
«Один компромисс — это только начало», — сказал он. «Это как нашествие насекомых в доме. Вы видите одно насекомое и, возможно, можете обработать его химикатами и избавиться от него или вынести на улицу. Однако вы знаете, что в стенах, в трещинах и щелях скрывается более серьёзная проблема».
Быстрые повороты, переходы в другие сети
Как только гражданин Северной Кореи принимается на работу и начинает процесс адаптации, он быстро проникает в организацию дальше.Они переходят в среду инфраструктуры виртуальных рабочих столов, используя доступ, предоставленный одним субъектом, для передачи его третьей стороне, часто доверенному партнеру.
«Это создает целую угрозу проникновения в цепочку поставок, и это очень, очень сложная проблема», — сказал Ку.
По словам Ку, расследование DTEX инсайдерских угроз, поддерживаемых Северной Кореей, пришло к «тревожному выводу». Это шокирующая реальность, свидетельствующая о том, что масштаб известных угроз широко распространен и, вероятно, более распространен, чем было подтверждено на данный момент.
«Мы ловим только самых глупых, тех, кто допускает ошибки в плане безопасности, и они рыщут в местах, о внедрении которых мы и не подозревали», — сказал Шуэтт. Это означает, что северокорейские технические специалисты, вероятно, одновременно работают в десятках организаций, в которых они были внедрены, в том числе и в тех, где они не работают.
Граждане Северной Кореи также устанавливают различные инструменты удаленного доступа, которые одобрены к использованию и часто внедряются в типичные мероприятия по адаптации новых сотрудников, когда большинство из них настраиваются и получают первоначальный доступ к рабочим системам.
«Они используют определённую личность и конкретного человека для трудоустройства, и набор навыков этого человека специально предназначен для трудоустройства в организацию», — сказал Ку. «Но как только они получают работу, это всего лишь право доступа, и затем они используют эти удалённые инструменты, чтобы дать возможность другим выполнять работу».
Северокорейцы справляются со своей работой — лучше, чем большинство
Угроза, исходящая от северокорейских технических специалистов, выделяется на фоне другой деятельности, поддерживаемой государством, поскольку они выполняют работу, за которую им платят компании. «В некоторых случаях они справляются лучше большинства», — сказал Ку.Когда несколько человек выполняют задачи, порученные одному человеку, и ему помогают тысячи экспертов в любой области, эти сотрудники могут стать настоящими звёздами в глазах своего работодателя. Организации кажется, что их лучший сотрудник выполняет непомерный объём работы.
Тем не менее, DTEX обнаружила несколько тревожных сигналов, начав отслеживать предполагаемую деятельность северокорейских рабочих на их рабочих машинах.
«То, что мы видим с работником КНДР, совершенно аномально по сравнению со всеми остальными. Это означает, что время входа в систему занимает чрезвычайно много времени, а затем нет никакой активности выхода из системы», — сказал Шуэтт.
«Они будут запускаться невыносимо много раз, чтобы человек мог выдержать это время, так что пройдет четыре-пять дней, прежде чем вы увидите очередной выход из системы, если вообще увидите его», — сказал он.
Этот невообразимо высокий уровень производительности достигается за счёт того, что северокорейские работники открывают удалённые сеансы и делятся своим рабочим столом с другими предполагаемыми сообщниками, обладающими схожими навыками. Всплески активности объясняются периодами передачи дел, переходом от одной смены к другой или работой нескольких человек бок о бок, дублируя друг друга.
В то время как среднее время между входом в систему и выходом из нее северокорейских сотрудников или разблокировкой и блокировкой машин составляет шесть-семь дней, DTEX зафиксировал один случай неустанной активности, которая продолжалась три недели.
Сейчас финансово мотивируют зарплаты, но что дальше?
На данный момент северокорейские технические работники сосредоточены на трудоустройстве, выполнении своих обязанностей и отправке заработанных денег обратно в Пхеньян.По данным Unit 42, северокорейские технические специалисты приносят северокорейскому режиму сотни миллионов долларов.
Потенциал для последующей деятельности, включая шпионаж, вымогательство и подрывные атаки на критически важную инфраструктуру, огромен.
«Наивность, с которой мы все думаем, что это всё, на что они способны, — это просто смешно», — сказал Ку. «Мы должны быть бдительны, потому что, когда они решат использовать оружие другим способом, у них появится возможность сделать это».
Хотя это остается гипотезой, Ку сказал, что «немыслимо» думать, что северокорейские технические специалисты, работающие на неизвестное количество предприятий по всему миру, в какой-то момент не установят бэкдор, не отключат критическую инфраструктуру или не совершат иную диверсию.
«Для этого просто нужен правильный момент времени, когда у них появится мотивация сделать это», — сказал он.
Специалисты по безопасности признают, что организациям сложно выявить потенциальную внутреннюю угрозу среди соискателей работы, но не невозможно.
Требование к кандидатам на удалённую работу присутствовать на видео и предъявлять удостоверение личности государственного образца — хорошая практика, но не абсолютная. По словам Шуэтта, наблюдение за тем, что люди делают на камеру — отводят взгляд, возможно, следуют подсказкам другого человека, помогающего им на собеседовании, — может дать ценную информацию.
«Мы видим других людей в комнате, которые проходят собеседование», — сказал Шуэтт. «Не знаю, как вы, но когда я устраиваюсь на работу, я, скорее всего, не делаю этого в Starbucks или каком-либо другом общественном месте».
Другими потенциальными признаками являются длительные паузы и непоследовательности в резюме кандидатов, например, заявления о наличии у них опыта в области технологий до того, как они стали широко развиты и стали широко доступны.
Специалисты по кадрам и рекрутеры — первая линия обороны от северокорейских инсайдерских угроз. Но даже если им удастся пройти этот этап и принять на работу, компании всё равно смогут обращать внимание на специфические особенности, такие как отсутствие коммуникации на встречах, в электронной почте или на платформах для совместной работы, чтобы выявить потенциальные проблемы.
Северокорейские технические специалисты «не спрашивают, как ваш ребёнок вчера играл в футбол», — сказал Шуэтт. «Они не рассказывают о новом крутом ресторане, который нашли, потому что не могут».
