Βορειοκορεάτες επαγγελματίες πληροφορικής που εξαπατούν δυτικές εταιρείες για να τους προσλάβουν, κλέβουν δεδομένα από το δίκτυο του οργανισμού και ζητούν λύτρα για να μην τα διαρρεύσουν.
Η αποστολή εργαζομένων στον τομέα της πληροφορικής για να αναζητήσουν εργασία σε εταιρείες σε πλουσιότερες χώρες είναι μια τακτική που χρησιμοποιεί η Βόρεια Κορέα εδώ και χρόνια ως μέσο για να αποκτήσει προνομιακή πρόσβαση για κυβερνοεπιθέσεις ή για να δημιουργήσει έσοδα για τα οπλικά προγράμματα της χώρας.
Ερευνητές της εταιρείας κυβερνοασφάλειας Secureworks αποκάλυψαν το στοιχείο του εκβιασμού κατά τη διάρκεια πολλαπλών ερευνών τέτοιων απατηλών σχημάτων.
Μετά τον τερματισμό της απασχόλησης ενός υπηκόου Βόρειας Κορέας με πρόσβαση σε ιδιόκτητα δεδομένα (ως μέρος του ρόλου του αναδόχου), η εταιρεία θα λάμβανε το πρώτο email εκβιασμού, το εξηγούν οι ερευνητές.
Για να αποκτήσουν τη δουλειά και να αποφύγουν τις υποψίες στη συνέχεια, οι δόλιοι εργαζόμενοι στον τομέα της πληροφορικής χρησιμοποίησαν ψεύτικη ή κλεμμένη ταυτότητα και βασίστηκαν σε φάρμες φορητών υπολογιστών για να κατευθύνουν την κυκλοφορία μεταξύ της πραγματικής τους τοποθεσίας και της εταιρείας μέσω ενός σημείου με έδρα τις ΗΠΑ.
Απέφευγαν επίσης το βίντεο κατά τη διάρκεια κλήσεων ή κατέφευγαν σε διάφορα κόλπα ενώ βρίσκονταν στη δουλειά για να κρύψουν το πρόσωπό τους κατά τη διάρκεια βιντεοδιασκέψεων, όπως η χρήση εργαλείων τεχνητής νοημοσύνης.
Πηγή: Secureworks
Τον Ιούλιο, η αμερικανική εταιρεία κυβερνοασφάλειας KnowBe4 αποκάλυψε ότι ήταν μεταξύ των εκατοντάδων εταιρειών που υπέστησαν θύματα και στην περίπτωσή τους, ο ηθοποιός της απειλής επιχείρησε να εγκαταστήσει έναν infotealer στον υπολογιστή της εταιρείας.
Η Secureworks παρακολουθεί την ομάδα που οργανώνει και συντονίζει τον στρατό των εργαζομένων στον τομέα της πληροφορικής της Βόρειας Κορέας ως “Nickel Tapestry”, ενώ η Mandiant χρησιμοποιεί το UNC5267 όνομα.
Ένα παράδειγμα καμπάνιας Nickel Tapestry στα μέσα του 2024 που ερεύνησε η Secureworks είναι αυτό μιας εταιρείας που είχε κλαπεί ιδιόκτητα δεδομένα σχεδόν αμέσως μετά την πρόσληψη εξωτερικού εργολάβου
Τα δεδομένα μεταφέρθηκαν σε έναν προσωπικό χώρο αποθήκευσης cloud του Google Drive χρησιμοποιώντας την υποδομή εικονικής επιφάνειας εργασίας (VDI) της εταιρείας.
Μετά τον τερματισμό της απασχόλησης λόγω κακής απόδοσης, η εταιρεία άρχισε να λαμβάνει μηνύματα ηλεκτρονικού ταχυδρομείου εκβιασμού από εξωτερικές διευθύνσεις Outlook και Gmail που περιείχαν δείγματα των κλεμμένων δεδομένων σε αρχεία ZIP.
Οι παράγοντες της απειλής ζήτησαν εξαψήφια λύτρα που θα πληρωθούν σε κρυπτονομίσματα με αντάλλαγμα τη μη διαρροή των δεδομένων δημόσια.
Η έρευνα της Secureworks αποκάλυψε ότι η Nickel Tapestry είχε χρησιμοποιήσει το Astrill VPN και οικιακούς διακομιστές για να κρύψει την πραγματική τους διεύθυνση IP κατά τη διάρκεια των κακόβουλων δραστηριοτήτων, ενώ το AnyDesk χρησιμοποιήθηκε για απομακρυσμένη πρόσβαση στα συστήματα.
Οι ερευνητές προειδοποιούν ότι οι βορειοκορεάτες εργαζόμενοι στον τομέα της πληροφορικής συχνά συντονίζονται για να παραπέμπουν ο ένας τον άλλον σε εταιρείες.
Οι οργανισμοί θα πρέπει να είναι προσεκτικοί κατά την πρόσληψη απομακρυσμένων εργαζομένων ή ελεύθερων επαγγελματιών και να αναζητούν ενδείξεις απάτης, όπως αλλαγές στους λογαριασμούς πληρωμών και τις διευθύνσεις αποστολής φορητών υπολογιστών, υποβολή βιογραφικών με γενική εμφάνιση, άτυπες ώρες αλληλογραφίας και απροθυμία ενεργοποίησης της κάμερας κατά τη διάρκεια συνεντεύξεων.
VIA: bleepingcomputer.com
