САН-ФРАНЦИСКО — Граждане Северной Кореи проникли в ряды сотрудников ведущих мировых компаний в большей степени, чем считалось ранее, что создает повсеместную и потенциально растущую угрозу для ИТ-инфраструктуры и конфиденциальных данных.
«Сотни организаций из списка Fortune 500 наняли северокорейских ИТ-специалистов», — заявил во вторник технический директор Mandiant Consulting Чарльз Кармакал во время пресс-конференции на конференции RSAC 2025.
«Практически каждая компания из списка Fortune 500 имеет как минимум десятки, если не сотни, заявок на северокорейских IT-специалистов», — сказал Кармакал. «Почти каждый руководитель службы информационной безопасности, с которым я говорил о проблеме северокорейских IT-специалистов, признался, что нанял как минимум одного северокорейского IT-специалиста, а то и десяток или несколько десятков».
Компания Google, занимающая восьмое место в ежегодном списке крупнейших компаний мира по объему выручки, также столкнулась с этой широко распространенной угрозой.
По словам Иэна Малхолланда, старшего директора по безопасности и инжинирингу в Google Cloud, в кадровом портфеле Google в качестве кандидатов на вакансии были обнаружены северокорейские технические специалисты, однако ни один из них не был принят на работу компанией.
Охотники за угрозами, компании по управлению инсайдерскими рисками и аналитики по безопасности продолжают бить тревогу по поводу того, что граждане Северной Кореи устраиваются на работу в крупные корпорации, подчеркивая обширную экосистему инструментов, инфраструктуры и специализированных талантов, созданную северокорейским режимом для этих целей.
Последние предупреждения и разведданные Mandiant и Google свидетельствуют об эскалации этой угрозы. Инсайдерская компания по управлению рисками DTEX недавно сообщила CyberScoop, что 7% её клиентской базы, что представляет собой значительную часть компаний из списка Fortune 2000, были атакованы северокорейскими агентами, работающими штатными сотрудниками с привилегированным доступом .
Риск работы граждан Северной Кореи в какой-либо крупной организации превратился из вероятности в прямое предположение. «Если вы этого не видите, значит, вы этого не замечаете, а не потому, что это не происходит с вами», — сказал Малхолланд.
«То, как мы наблюдали за тем, как они нанимали ИТ-специалистов для работы в компаниях из списка Fortune 500, просто поразительно», — заявила Сандра Джойс, вице-президент Google Threat Intelligence.
На данный момент эта группа северокорейских специалистов в основном зарабатывает деньги за свою работу и отправляет свою зарплату обратно в Пхеньян.
Кармакал сказал, что несколько лет назад эта схема его озадачила, поскольку, казалось, речь шла о сравнительно небольшой сумме. Но деньги, заработанные северокорейским режимом, со временем накапливались и теперь могут принести существенный доход.
По словам Кармакала, тысяча ИТ-работников, получающих шестизначные зарплаты и перечисляемых обратно правительству Северной Кореи, ежегодно получает около 100 миллионов долларов, и многие из этих специалистов одновременно работают на нескольких должностях в разных организациях.
«Большая часть этой деятельности направлена на сбор средств», — сказал Джон Халтквист, главный аналитик Google Threat Intelligence Group.
Однако по мере того, как все больше северокорейских агентов получают работу на технических должностях, возрастает и потенциальная угроза, которую представляет их доступ к критически важным системам.
«Когда их начинают выкорчевывать, это может спровоцировать серьёзные проблемы, а затем начать всё разрушать», — сказал Халтквист. «Мы уже видели примеры того, как они это делают, особенно когда их работа фактически оказывается под угрозой».
Давление возникает из-за потери заработной платы. Многие предприятия теперь знают об угрозе, исходящей от северокорейских IT-специалистов, и компании быстрее выявляют и удаляют их из систем.
Компания Mandiant заметила изменение активности примерно полгода назад, поскольку Северная Корея сменила тактику и начала вымогать у компаний средства, чтобы компенсировать потерю заработной платы из-за уволенных сотрудников.
По словам Кармакала, подобные случаи вымогательства, составляющие «очень небольшой процент», принимали различные формы. Бывшие сотрудники обращались к своим руководителям, угрожая раскрыть данные, к которым они имели доступ во время работы, если компания не выплатит им подписной бонус или зарплату за последний месяц.
В других случаях новые персоны отправляли электронные письма организациям-жертвам, утверждая, что они являются злоумышленниками, которые взломали их сеть и похитили данные.
«Изучив этот образец данных, который они взяли, мы смогли связать его с расследованием, которое мы провели шесть месяцев назад, и узнали, что это были те самые данные, которые предполагаемый северокорейский ИТ-работник похитил из компании в рамках своей работы», — сказал Кармакал.
«Мы обеспокоены тем, что существует вероятность того, что в какой-то момент эти люди, получившие данные в рамках своей работы, опубликуют их в интернете», — сказал Кармакал. «Мы пока этого не наблюдали, но именно этого опасается большинство этих организаций сегодня».
Ущерб может иметь еще более дестабилизирующие формы, включая прямое нарушение работы критически важных служб или инфраструктуры.
По словам Халтквиста, компания Mandiant обнаружила, что Главное разведывательное бюро Северной Кореи, которое ранее было связано с разрушительными и деструктивными атаками, использовало те же IP-адреса, что и северокорейские ИТ-специалисты.
«Там есть различные технические связи, и я думаю, что это вполне реальная угроза», — сказал он. «Куда бы они ни пошли, они, по сути, уже внутри компании. Так что они легко могут передать информацию разведслужбам, если те не отслеживают буквально всё, что они делают, что, я думаю, тоже весьма и весьма вероятно».
«Сотни организаций из списка Fortune 500 наняли северокорейских ИТ-специалистов», — заявил во вторник технический директор Mandiant Consulting Чарльз Кармакал во время пресс-конференции на конференции RSAC 2025.
«Практически каждая компания из списка Fortune 500 имеет как минимум десятки, если не сотни, заявок на северокорейских IT-специалистов», — сказал Кармакал. «Почти каждый руководитель службы информационной безопасности, с которым я говорил о проблеме северокорейских IT-специалистов, признался, что нанял как минимум одного северокорейского IT-специалиста, а то и десяток или несколько десятков».
Компания Google, занимающая восьмое место в ежегодном списке крупнейших компаний мира по объему выручки, также столкнулась с этой широко распространенной угрозой.
По словам Иэна Малхолланда, старшего директора по безопасности и инжинирингу в Google Cloud, в кадровом портфеле Google в качестве кандидатов на вакансии были обнаружены северокорейские технические специалисты, однако ни один из них не был принят на работу компанией.
Охотники за угрозами, компании по управлению инсайдерскими рисками и аналитики по безопасности продолжают бить тревогу по поводу того, что граждане Северной Кореи устраиваются на работу в крупные корпорации, подчеркивая обширную экосистему инструментов, инфраструктуры и специализированных талантов, созданную северокорейским режимом для этих целей.
Последние предупреждения и разведданные Mandiant и Google свидетельствуют об эскалации этой угрозы. Инсайдерская компания по управлению рисками DTEX недавно сообщила CyberScoop, что 7% её клиентской базы, что представляет собой значительную часть компаний из списка Fortune 2000, были атакованы северокорейскими агентами, работающими штатными сотрудниками с привилегированным доступом .
Риск работы граждан Северной Кореи в какой-либо крупной организации превратился из вероятности в прямое предположение. «Если вы этого не видите, значит, вы этого не замечаете, а не потому, что это не происходит с вами», — сказал Малхолланд.
«То, как мы наблюдали за тем, как они нанимали ИТ-специалистов для работы в компаниях из списка Fortune 500, просто поразительно», — заявила Сандра Джойс, вице-президент Google Threat Intelligence.
На данный момент эта группа северокорейских специалистов в основном зарабатывает деньги за свою работу и отправляет свою зарплату обратно в Пхеньян.
Кармакал сказал, что несколько лет назад эта схема его озадачила, поскольку, казалось, речь шла о сравнительно небольшой сумме. Но деньги, заработанные северокорейским режимом, со временем накапливались и теперь могут принести существенный доход.
По словам Кармакала, тысяча ИТ-работников, получающих шестизначные зарплаты и перечисляемых обратно правительству Северной Кореи, ежегодно получает около 100 миллионов долларов, и многие из этих специалистов одновременно работают на нескольких должностях в разных организациях.
«Большая часть этой деятельности направлена на сбор средств», — сказал Джон Халтквист, главный аналитик Google Threat Intelligence Group.
Однако по мере того, как все больше северокорейских агентов получают работу на технических должностях, возрастает и потенциальная угроза, которую представляет их доступ к критически важным системам.
«Когда их начинают выкорчевывать, это может спровоцировать серьёзные проблемы, а затем начать всё разрушать», — сказал Халтквист. «Мы уже видели примеры того, как они это делают, особенно когда их работа фактически оказывается под угрозой».
Давление возникает из-за потери заработной платы. Многие предприятия теперь знают об угрозе, исходящей от северокорейских IT-специалистов, и компании быстрее выявляют и удаляют их из систем.
Компания Mandiant заметила изменение активности примерно полгода назад, поскольку Северная Корея сменила тактику и начала вымогать у компаний средства, чтобы компенсировать потерю заработной платы из-за уволенных сотрудников.
По словам Кармакала, подобные случаи вымогательства, составляющие «очень небольшой процент», принимали различные формы. Бывшие сотрудники обращались к своим руководителям, угрожая раскрыть данные, к которым они имели доступ во время работы, если компания не выплатит им подписной бонус или зарплату за последний месяц.
В других случаях новые персоны отправляли электронные письма организациям-жертвам, утверждая, что они являются злоумышленниками, которые взломали их сеть и похитили данные.
«Изучив этот образец данных, который они взяли, мы смогли связать его с расследованием, которое мы провели шесть месяцев назад, и узнали, что это были те самые данные, которые предполагаемый северокорейский ИТ-работник похитил из компании в рамках своей работы», — сказал Кармакал.
«Мы обеспокоены тем, что существует вероятность того, что в какой-то момент эти люди, получившие данные в рамках своей работы, опубликуют их в интернете», — сказал Кармакал. «Мы пока этого не наблюдали, но именно этого опасается большинство этих организаций сегодня».
Ущерб может иметь еще более дестабилизирующие формы, включая прямое нарушение работы критически важных служб или инфраструктуры.
По словам Халтквиста, компания Mandiant обнаружила, что Главное разведывательное бюро Северной Кореи, которое ранее было связано с разрушительными и деструктивными атаками, использовало те же IP-адреса, что и северокорейские ИТ-специалисты.
«Там есть различные технические связи, и я думаю, что это вполне реальная угроза», — сказал он. «Куда бы они ни пошли, они, по сути, уже внутри компании. Так что они легко могут передать информацию разведслужбам, если те не отслеживают буквально всё, что они делают, что, я думаю, тоже весьма и весьма вероятно».
