WSJ сообщила, как шпионы КНДР проникли в сети США благодаря удаленке
КНДР уже давно использует кибершпионов для кражи интеллектуальной собственности в США, однако теперь, вместо того чтобы просто взламывать сети, северокорейские оперативники тайно присоединяются к компаниям в качестве удаленных работников. Об этом пишет The Wall Street Journal (WSJ) со ссылкой на источники среди американских чиновников и экспертов в области безопасности.
Собеседники газеты рассказали, что после пандемии COVID-19 и скачка в развитии генеративного искусственного интеллекта северокорейцы были наняты на сотни, а возможно, и на тысячи низкоуровневых должностей в сфере информационных технологий, используя украденные идентификационные данные иностранцев.
В Минюсте США рассказали WSJ, что такая схема может приносить режиму Ким Чен Ына сотни миллионов долларов, что позволяет ему обходить строгие международные санкции и продолжать финансировать свою программу по созданию ядерного оружия и баллистических ракет.
Аналитик подразделения киберугроз Mandiant компании Google Cloud Майкл Барнхарт уточнил, что исследователи его подразделения были ошеломлены тем, насколько распространенным, по-видимому, является северокорейское мошенничество. «Как только мы начали снимать слои этой луковицы, мы поняли, что эти IT-работники повсюду», — сказал он.
Гендиректор IT-компании о области безопасности KnowBe4 Стю Сьюверман рассказал WSJ, как однажды его компания наняла по Zoom некого Кайла, который в онлайн-общении показался достойным кандидатом для внутренней IT-должности. Однако уже в первый день работы Кайл попытался внедрить вредоносное ПО, из-за чего было начато внутреннее расследование. Его результаты показали, что Кайл разместил на своей странице в LinkedIn фотографию, созданную с помощью искусственного интеллекта, а свою деятельность он вел из Северной Кореи.
По данным технологической компании Cinder, около 80% заявлений с некоторых сайтов о вакансиях были от северокорейских агентов, использующих поддельные удостоверения личности. Руководитель инженерного отдела компании Деклан Каммингс в разговоре с WSJ отметил, что при устройстве на работу удаленно некоторые кандидаты выглядели не совсем так, как на их фотографиях в профиле LinkedIn. Кроме этого, они часто говорили с сильным корейским акцентом. В некоторых случаях они перечисляли опыт работы в офисах Facebook в зарубежных странах, которых вовсе не существует, рассказал Каммингс.
Газета также напоминает, что еще в прошлом месяце федеральные прокуроры раскрыли схему, благодаря которой северокорейским спецслужбам удавалось выдавать себя за американских граждан. Тогда был задержан житель штата Теннесси Мэтью Кнут, который за плату позволял специалистам из КНДР подключаться к рабочим ноутбукам в его доме в Нэшвилле. За сотрудничество ему обещали $500 за каждый ноутбук — плюс 20% от чистой прибыли.
До этого, в мае, федеральные прокуроры обнародовали обвинительное заключение, в котором утверждалось, что женщина из Аризоны и мужчина с Украины были частью «сети ферм» по производству ноутбуков, в результате которой более 300 американских компаний наняли людей, личность которых была похищена. В результате мошеннических действий в Пхеньян было переведено не менее $6,8 млн.
В феврале 2023 года агентство Reuters со ссылкой на данные из отчета ООН сообщало, что связанными с КНДР хакерами в 2022-м «было похищено больше криптовалютных активов, чем за любой предыдущий год». По данным представителей Южной Кореи, северокорейскими хакерами было украдено цифровых активов на $630 млн, другой источник — неназванная компания, специализирующаяся на кибербезопасности, — утверждает, что сумма похищенных средств превысила $1 млрд. За большинством кибератак, следует из отчета, стоят группы, контролируемые главным разведывательным органом Северной Кореи — Генеральным бюро разведки (Reconnaissance General Bureau), включая Kimsuky, Lazarus Group и Andariel.
ФБР обвиняло киберпреступников из КНДР во взломе экосистемы Harmony, в результате которого летом 2022 года были похищены криптоактивы на $100 млн. По данным властей, за кражей средств стоят две связанные с КНДР хакерские группы — Lazarus Group и APT38. Эти же группы, по мнению США, были причастны к атаке на блокчейн-мост Ronin, в результате которой было похищено более $600 млн.