Содержание:
- Неприкрытая угроза
- Фальсификация нового уровня
- Троянский конь из Пхеньяна
Представление о КНДР как об отсталой стране, которую обошла стороной цифровая трансформация, несколько ошибочно. Интернет до сих пор доступен только избранным, однако это не помешало режиму наладить функционирование целого кластера IТ-специалистов, который может создать серьезную проблему для остального мира.
LIGA.Tech разбиралась, как он работает, как его агентам удается обманом устраиваться в западные компании и почему это ставит под сомнение глобальную кибербезопасность.
Неприкрытая угроза
После падения СССР и прекращения помощи КНДР пришлось импровизировать в поисках источников жесткой валюты для обеспечения функционирования режима. Сюда входило изготовление и продажа оружия советских калибров, разнообразных контрафактных товаров, наркотических веществ, а также сдача в аренду бригад работников, фактически работающих на положении рабов. Пандемия COVID-19 значительно популяризировала дистанционную работу, открывшую новое окно возможностей для Пхеньяна.
По оценкам ФБР и Госдепа США, в КНДР с 2018 года работает подпольный кластер айтишников. Он насчитывает тысячи работников и зарабатывает в обход санкций от $250 млн до $600 млн в год. Причем самая большая проблема даже не в том, что эти средства уходят на финансирование разработки ядерного оружия и программ баллистических ракет. Северокорейские специалисты также выступают "кротами", собирающими конфиденциальную информацию и создающими уязвимости в системах кибербезопасности западных компаний.
Читайте такжеНовая любимая игрушка Трампа? Что известно о перспективном истребителе F-47
По подсчетам компании по кибербезопасности CrowdStrike, в 2024 году было зафиксировано более 300 инцидентов с подставными северокорейскими IТ-специалистами. Их основной целью остаются компании из США, однако в последнее время активизировались и в других странах, особенно европейских. Связывают это с тем, что американские компании более осведомлены об угрозе и тщательнее подходят к рекрутингу работников.
В группе риска – компании, позволяющие своим специалистам работать с собственных компьютеров. Это дает им возможность избегать распространенных способов мониторинга вроде логирования или проверки корпоративных девайсов. Программы TinyPilot и PiKVM позволяют создавать иллюзию, что человек физически работает на компьютере, а не через виртуальную машину.
Основной фокус делается на стартапах, которые как раз стремительно набирают обороты. В процессе найма новых работников там могут уделять гораздо меньше внимания их проверке, нежели в крупных корпорациях.
Тем не менее некоторые северокорейские айтишники умудрялись устраиваться на работу к участникам списка Fortune 500 (рейтинг крупнейших компаний по валовому доходу). Этому помогали изящно придуманные "легенды", вводившие в заблуждение даже опытных специалистов по HR и безопасности. Как им это удавалось?
Фальсификация нового уровня
Получить базовые навыки по информатике и программированию северокорейские граждане могут в Университете имени Ким Ир Сена, а также Пхеньянском университете технологий и науки, где преподаются соответствующие курсы. Наиболее способных и лояльных к режиму направляют в специализированные военные и государственные учреждения, где они могут расширить свои знания и попасть в специализированные группы.
Планы развития сектора информационных технологий озвучил отец нынешнего диктатора, Ким Чен Ир, еще в марте 2001 года. Этому намерению как раз способствовала разрядка между двумя Кореями в первом десятилетии XXI века. Правительство в Сеуле даже подталкивало Samsung инвестировать $73 млн в национальный университет исследования информатики КНДР. Иронично, что после этого в 2013 году одними из первых мишеней северокорейских хакерских атак станут банки и другие учреждения южного соседа.
Однако научиться кодировать – это меньше половины дела. Настоящий вызов – создание достаточно убедительной фальшивой личности, чтобы успешно устроиться на работу за границей. Чтобы выдавать себя за граждан других стран, северокорейские айтишники работают из Китая или РФ, привлекают посредников и широкий спектр инструментов. Распространение нейросетей существенно упростило им задачу.
Читайте такжеОбман нового поколения. Как мошенники используют ИИ и как не попасть на их крючок
Чаще всего они используют настоящие паспорта, водительские права или карты социального страхования, полученные путем кражи или замены личных данных. Если это не удается, северокорейские айтишники пользуются подделками разного уровня качества. В них используется смешение реальной и фальшивой информации. Так, за основу фото профиля может браться изображение реального человека, на которое с помощью ИИ накладывается лицо программиста из КНДР. Оно вполне может пройти базовую проверку.
Для прохождения собеседования по видео с HR-специалистом аферисты, подобно шпионам, создают полноценные "легенды" с предысториями и подробными ответами на наиболее часто задаваемые вопросы. Хотя некоторые часто выдают себя на том, что не могут ответить на простые вопросы о своей жизни, если этого нет в их резюме.
Если компания настаивает на использовании корпоративных ноутбуков, то в ход шла следующая схема: устройство направлялось посреднику из США или другой западной страны. Там он подключал его к сети, после чего злоумышленник работал удаленно с помощью программного обеспечения вроде Chrome Remote Desktop, AnyDesk, Splashtop Streamer, TeamViewer, RustDesk и т.д. Благодаря этому при проверке выглядело, что специалисты действительно работают из США, а не из РФ, Китая, Лаоса или других лояльных к КНДР государств.
Для скрытия своего подлинного месторасположения северокорейцы также используют VPN, а в случае желания работодателя поговорить по телефону – виртуальные телефонные номера. Это тоже часто приводило к достаточно курьезным разоблачениям: однажды айтишник из КНДР заявлял, что проживает и работает в Польше, а в первый день работы заходил с испанского IP-адреса.
Читайте такжеУже не динозавры. Какие старые гаджеты снова стали популярны и почему дело не только в ностальгии
Потенциальные цели они ищут на популярных западных платформах для поиска работы и фриланса вроде Upwork или Freelancer, а также в мессенджере Telegram. Они создают записи на основе фейковых личностей и рассылают сотни заявок на вакансии благодаря нейросетям. Некоторые идут на создание фальшивых веб-страниц компаний, где якобы раньше работали. Это часто позволяет пройти им все необходимые проверки.
По подсчетам ФБР, один такой работник может зарабатывать до $300 000 в год, а группа из нескольких человек – $3 млн. Для вывода средств злоумышленники используют платежные онлайн-платформы или криптовалюту.
Чаще всего аферисты выдают себя за граждан Италии, Японии, Малайзии, Сингапура, Соединенных Штатов, Вьетнама и даже Украины. Согласно отчету Google, был зафиксирован случай, когда один северокорейский айтишник руководил по меньшей мере 12 подставными личностями в США и Европе. Чаще всего они обращают внимание на вакансии, связанные с созданием ботов, системами менеджмента контента и блокчейна.
Троянский конь из Пхеньяна
В прошлом и нынешнем году ФБР отчиталось об аресте нескольких посредников, работавших вместе с подпольными северокорейскими айтишниками. Они размещали у себя дома "фермы ноутбуков", помогали с трудоустройством и даже отмыванием полученных средств за свой процент. Бюро пообещало гонорар в $5 млн за полезную информацию о мошеннических схемах с айтишниками КНДР. Кроме того, было закрыто 17 сайтов и изъято $1,5 млн, которые использовались.
Большая угроза IТ-компаниям заключается в том, что даже если им удастся вычислить и уволить такого "специалиста", проблемы могут только начаться. Они часто переходят к плану "Б" и начинают требовать большие суммы денег. В противном случае угрожают "слить" в сеть личные данные работников или другую чувствительную информацию.
Часто северокорейские айтишники изучают системы защиты компаний, в которых работают, или запускают в систему вредоносные программы, чтобы упростить хакерам-соотечественникам взлом. В начале этого года произошла наибольшая одновременная кража активов онлайн: расположенная в Дубае криптобиржа Bybit лишилась активов почти на $1,5 млрд. Основными подозреваемыми считаются северокорейские хакеры, и не исключено, что операция стала возможной благодаря помощи их коллег изнутри.
Читайте такжеНастоящая кукуруза, ПК на базе айфонов и робот на тележке – как снимался "Фоллаут"
Американские правоохранители призывают IТ-компании тщательнее подходить к найму удаленных работников. Особенно обращать внимание на странные моменты в трафике или во время видеозвонков (могут использоваться ИИ-инструменты для изменения внешности).
Руководитель криптовалютного стартапа g8keep Гаррисон Леджио рассказал изданию Fortune, что в его случае 95% соискателей были подпольными айтишниками из КНДР, которые выдавали себя за американских разработчиков. Он придумал достаточно оригинальный способ выводить их на чистую воду: просил сказать что-то плохое о вожде Ким Чен Ыне, что является серьезным преступлением в КНДР. Один из таких кандидатов в ответ начал ругаться и заблокировал Леджио в мессенджере.
Тем не менее к ситуации не следует относиться легкомысленно. На фоне успеха операции в Bybit и явному росту амбиций пхеньянского диктатора можно ожидать масштабирования операций подпольного IТ-кластера КНДР, а также роста их сложности и наглости.
