Pracownicy z Korei Północnej, zatrudniani w zachodnich firmach IT pod fałszywymi tożsamościami, nie tylko kradną własność intelektualną, ale także zaczynają żądać okupu w zamian za jej nieujawnianie. To nowa forma ataków finansowych prowadzonych przez osoby powiązane z tym reżimem.
Według analizy opublikowanej w tym tygodniu przez Secureworks Counter Threat Unit (CTU), w niektórych przypadkach pracownicy-szpiedzy zażądali okupu po uzyskaniu dostępu do kluczowych systemów firm, w których zostali zatrudnieni. Taki przypadek zaobserwowano w połowie 2024 roku, gdy kontraktor niemal natychmiast po rozpoczęciu pracy wykradł poufne dane.
Schematy działania oszustów
Oszuści z Korei Północnej infiltrują zachodnie firmy, aby zdobyć nielegalne dochody dla swojego kraju. Często są wysyłani do Chin lub Rosji, gdzie podszywają się pod freelancerów, szukających pracy. Zdarza się również, że kradną tożsamości obywateli USA, aby osiągnąć swoje cele. Dlatego delegowanie zadań IT przez duże zachodnie firmy do "biedniejszych krajów" zaczyna być coraz bardziej niebezpieczne.
Zdarza się, że kilku fałszywych pracowników zostaje zatrudnionych przez tę samą firmę, a niektórzy z nich mogą występować pod kilkoma tożsamościami.
W celu obejścia kontroli oszuści proszą o zmianę adresu dostawy firmowego sprzętu, tak aby laptopy trafiały do pośredników działających w tzw. "farmach laptopów". Osoby te, wynagradzane przez zagranicznych współpracowników, instalują oprogramowanie, które umożliwia północnokoreańskim pracownikom zdalny dostęp do komputerów. Zdarza się, że kilku fałszywych pracowników zostaje zatrudnionych przez tę samą firmę, a niektórzy z nich mogą występować pod kilkoma tożsamościami.
Żądania okupu
Ta taktyka utrudnia wykrycie zagrożenia i zbieranie dowodów w przypadku wycieku danych. Jeden z pracowników, który został zwolniony z powodu słabych wyników, wysłał do firmy wiadomość z żądaniem okupu, dołączając załącznik ZIP z dowodami na kradzież wrażliwych danych.
Zdarza się, że kilku fałszywych pracowników zostaje zatrudnionych przez tę samą firmę, a niektórzy z nich mogą występować pod kilkoma tożsamościami.
Jak zauważa Rafe Pilling, dyrektor Secureworks CTU, to nowe zjawisko znacząco zmienia ryzyko związane z przypadkowym zatrudnieniem północnokoreańskich pracowników IT. Nie zależy im już tylko na stałej pensji - teraz dążą do szybkiego zarobku poprzez kradzież danych i wymuszenia.
Działania te najczęściej dotykają firmy zajmujące się tworzeniem oprogramowania, które korzystają z zewnętrznych kontraktorów. Organizacje są ostrzegane, aby zachować szczególną czujność podczas rekrutacji, przeprowadzając dokładne kontrole tożsamości oraz zwracając uwagę na podejrzane zmiany w adresach dostawy sprzętu czy używanie nieautoryzowanych narzędzi do zdalnego dostępu.
Pokaż / Dodaj komentarze do: Uśpione zagrożenie: pracownicy IT z Korei Północnej