Севернокорейски IT служители изнудват западни компании

Служители, наети с фалшива самоличност в западни компании, не само крадат интелектуална собственост, но вече и изнудват за откупи.

В последно време, атаките от Севернокорейски IT работници придобиват ново измерение. Тези служители, наети с фалшива самоличност в западни компании, не само крадат интелектуална собственост, но вече и изнудват за откупи, за да не изтекат тези данни. Тази нова стратегия за финансови атаки представлява сериозна ескалация на заплахата.

От измама до изнудване: новата тактика на Севернокорейските IT служители

По данни на Secureworks Counter Threat Unit (CTU), случаите на изнудване от севернокорейски работници в западни компании са започнали да се увеличават. В средата на 2024 г. един от тези наети служители е започнал да ексфилтрира данни почти веднага след наемането си, а скоро след това е поискал откуп, за да не изтекат данните.

Тази дейност се свързва с групата за заплахи, известна като Nickel Tapestry (още наричана Famous Chollima и UNC5267), която има дълга история на кибершпионаж и финансови престъпления. Севернокорейските IT работници действат като част от стратегия за генериране на незаконни приходи за режима, който страда от сериозни икономически санкции.

Как се извършват атаките?

Работниците, които са част от тази схема, обикновено се намират в страни като Китай и Русия, откъдето се представят като фрийлансъри, търсещи работа. В някои случаи те дори крадат идентичностите на реални лица в САЩ, за да подсигурят наемането си.

Една от най-често използваните тактики е промяната на адресите за доставка на фирмените лаптопи. Вместо те да бъдат изпратени на реален служител, те се пренасочват към "ферми за лаптопи", където трети страни инсталират дистанционен софтуер за достъп. Това позволява на севернокорейските действащи лица да имат постоянен контрол върху машините, докато същевременно остават извън физическата юрисдикция на компаниите.

Още по-заплашително е, че в някои случаи, тези служители искат да използват лични лаптопи, което ограничава възможността на компаниите да извършват форензични анализи и да идентифицират злонамерената дейност.

Изнудване и кражба на данни

Севернокорейските IT работници вече не са просто измамници, които се стремят към редовна заплата. С последните случаи на изнудване, те преминават към по-агресивни форми на атака. Например, един служител, след като е бил уволнен за лошо представяне, е изпратил имейл със заплаха, в който е приложил архиви с доказателства за откраднати данни.

Този вид изнудване значително увеличава риска за компаниите, които наемат такива служители, и подчертава необходимостта от по-строги проверки на самоличността и по-добра киберзащита.

Как да се предпазим?

С оглед на ескалацията на атаките, Secureworks CTU препоръчва на компаниите да предприемат следните мерки:

1. Подробни проверки на идентичността – всеки кандидат трябва да бъде проверен чрез видеоинтервю или лично присъствие.
2. Мониторинг на IT оборудването – обръщайте внимание на всякакви опити за пренасочване на корпоративно оборудване.
3. Следене на финансовото поведение – подозрителни транзакции или искания за пренасочване на заплащанията към услуги за парични трансфери трябва да бъдат флаг за предупреждение.
4. Ограничаване на достъпа до лични лаптопи – трябва да се избягва даването на разрешения за използване на персонални устройства за достъп до корпоративната мрежа.