Група загроз Google (GTIG) розкрила, що дії Північної Кореї з підробки ІТ-інженерів продовжують розширюватись, їхнє проникнення вже охопило не лише США, а й Великобританію та багато країн Європи. Вони маскуються під легітимних віддалених інженерів, проникають в корпоративні системи, беруть участь у високотехнологічних проектах та крадуть дані, що становить серйозну загрозу для глобальної інформаційної безпеки та корпоративних секретів.
З США до Європи: блокчейн та проекти ШІ стають головними цілями Північної Кореї
З другої половини 2024 року GTIG спостерігає за суттєвим прискоренням проникнення IT-спеціалістів з Північної Кореї на європейський ринок, особливо зосереджуючи увагу на Великій Британії, Німеччині, Португалії та країнах Центрально-Східної Європи. Вони подають заявки на підприємницькі посади, підробляючи національність, освіту та місце проживання, а один з працівників навіть використовував 12 підроблених особистостей, щоб потрапити в оборонну промисловість та урядові проекти.
Північнокорейські IT-спеціалісти переходять до розширення в неамериканських регіонах
За інформацією, в резюме часто зустрічаються дипломи університету Сербії, адреса в Словаччині, а також інструкції щодо використання європейських сайтів пошуку роботи.
Розкрийте глобальну мережу фальшивих особистостей, що стоять за фальшивими розробниками
GTIG стурбовані, що ці північнокорейські інженери не діють самостійно, за ними може стояти міжнародна допоміжна система, яка допомагає підробляти особистість, проходити перевірки та здійснювати перекази коштів.
Звіт розкриває, що один з корпоративних ноутбуків, який мав використовуватися в Нью-Йорку, був виявлений в Лондоні, що свідчить про те, що дії з маскування охоплюють Європу та Америку. Розслідування також виявило, що цей ноутбук використовувався для надання підроблених паспортів, надання порад щодо стратегії найму, а також для складання переліку часових поясів різних країн для посилення маскування особистості.
Нещодавно ончейн-експерти з безпеки також виявили новий тип шахрайства, в якому північнокорейські хакери видають себе за експертів з венчурного капіталу (Venture Capital, VC) обманом змусити жертв завантажити файли відновлення аудіо, що містять шкідливі програми, через проблеми зі звуком, поширені на зустрічах Zoom, що може призвести до крадіжки особистих коштів або конфіденційної інформації.
(Проблеми з конференц-зв'язком? Будьте обережні, це можуть бути хакери з Північної Кореї, які маскуються під VC, розсилаючи фішингові посилання для відновлення зв'язку )
Частота вимагання зростає, загрози витоку інформації виникають одна за одною
Зважаючи на позови та санкційний тиск з боку США, частота атак з викупом з боку північнокорейських IT-фахівців продовжує зростати з жовтня минулого року. Вони чинять тиск на великі компанії, погрожуючи розкриттям конфіденційних даних або продажем їх конкурентам:
В минулому були випадки, коли IT-спеціалісти після звільнення намагалися повернутися на роботу під іншими іменами. Зараз вони безпосередньо використовують внутрішні конфіденційні документи та проектні дані як важіль для підтримки доходів країни.
(Спільна заява трьох країн: США, Японії та Південної Кореї попереджає: загроза з боку північнокорейських крипто-кіберзлочинців зростає, необхідно спільно протидіяти )
GTIG виявили, що на сьогоднішній день вони брали участь у кількох проектах, включаючи розроблені на Solana та Rust блокчейн-додатки, AI-сайти або додатки на базі Electron або Next.js, а також автоматизовані роботи та системи управління контентом:
Деякі проекти пов'язані з чутливими технологіями, а виплата винагороди часто здійснюється у криптовалюті, що ускладнює відстеження джерел і напрямків фінансування.
Зручно, коли на випадок? BYOD середовище праці стає новою вразливістю
Крім того, GTIG також особливо зазначає, що через те, що деякі підприємства впроваджують політику «принеси свій пристрій (Bring Your Own Device, BYOD)», яка дозволяє співробітникам віддалено отримувати доступ до системи компанії через особисті пристрої, це може призвести до збоїв у традиційному моніторингу інформаційної безпеки та ідентифікації пристроїв:
Технічні фахівці Північної Кореї вважають середовище BYOD ідеальною метою і почнуть діяти в таких підприємствах на початку 2025 року. Відсутність повного моніторингу, відстеження пристроїв та функцій запису дозволяє їм легше ховатися в середовищі, виконуючи крадіжку даних та інші зловмисні дії.
Глобальні компанії сигналізують тривогу, закликаючи посилити верифікацію та моніторинг кібербезпеки
Атаки північнокорейських хакерів продовжують змінюватися. Федеральне бюро розслідувань (FBI) та блокчейн-детектив ZachXBT кілька місяців тому викрили, що вони проводять ретельно сплановані та важко виявлені соціальні інженерні атаки (Social Engineering Attack) на криптовалютні проекти та пов'язані компанії, намагаючись поширити шкідливе програмне забезпечення та вкрасти криптовалютні активи компаній.
(ZachXBT викрив північнокорейську хакерську злочинну мережу, що маскується під команду розробників, та знову викрав гроші: місячний дохід 500 тисяч доларів)
З огляду на такі дії проникнення, підприємства повинні підвищити обізнаність, зміцнити перевірку фону кандидатів, процеси верифікації та захист інформаційної безпеки, особливо щодо контролю віддалених працівників та аутсорсингових платформ:
Північна Корея створила повноцінну мережу операцій з фальшивими особистостями та міжнародну систему підтримки, чия гнучкість і масштаби проникнення роблять її великою загрозою безпеці світової технологічної індустрії.
Ця стаття Google: випадок проникнення північнокорейських фальшивих інженерів поширився на Великобританію, ризики кібербезпеки підприємств викликають тривогу. Спочатку з'явилася на Chain News ABMedia.
Переглянути оригінал
Контент має виключно довідковий характер і не є запрошенням до участі або пропозицією. Інвестиційні, податкові чи юридичні консультації не надаються. Перегляньте Відмову від відповідальності , щоб дізнатися більше про ризики.
Google: випадки проникнення північнокорейських фальшивих інженерів розширилися до Великобританії, ризики кібербезпеки підприємств викликають тривогу
Група загроз Google (GTIG) розкрила, що дії Північної Кореї з підробки ІТ-інженерів продовжують розширюватись, їхнє проникнення вже охопило не лише США, а й Великобританію та багато країн Європи. Вони маскуються під легітимних віддалених інженерів, проникають в корпоративні системи, беруть участь у високотехнологічних проектах та крадуть дані, що становить серйозну загрозу для глобальної інформаційної безпеки та корпоративних секретів.
З США до Європи: блокчейн та проекти ШІ стають головними цілями Північної Кореї
З другої половини 2024 року GTIG спостерігає за суттєвим прискоренням проникнення IT-спеціалістів з Північної Кореї на європейський ринок, особливо зосереджуючи увагу на Великій Британії, Німеччині, Португалії та країнах Центрально-Східної Європи. Вони подають заявки на підприємницькі посади, підробляючи національність, освіту та місце проживання, а один з працівників навіть використовував 12 підроблених особистостей, щоб потрапити в оборонну промисловість та урядові проекти.
Північнокорейські IT-спеціалісти переходять до розширення в неамериканських регіонах
За інформацією, в резюме часто зустрічаються дипломи університету Сербії, адреса в Словаччині, а також інструкції щодо використання європейських сайтів пошуку роботи.
Розкрийте глобальну мережу фальшивих особистостей, що стоять за фальшивими розробниками
GTIG стурбовані, що ці північнокорейські інженери не діють самостійно, за ними може стояти міжнародна допоміжна система, яка допомагає підробляти особистість, проходити перевірки та здійснювати перекази коштів.
Звіт розкриває, що один з корпоративних ноутбуків, який мав використовуватися в Нью-Йорку, був виявлений в Лондоні, що свідчить про те, що дії з маскування охоплюють Європу та Америку. Розслідування також виявило, що цей ноутбук використовувався для надання підроблених паспортів, надання порад щодо стратегії найму, а також для складання переліку часових поясів різних країн для посилення маскування особистості.
Нещодавно ончейн-експерти з безпеки також виявили новий тип шахрайства, в якому північнокорейські хакери видають себе за експертів з венчурного капіталу (Venture Capital, VC) обманом змусити жертв завантажити файли відновлення аудіо, що містять шкідливі програми, через проблеми зі звуком, поширені на зустрічах Zoom, що може призвести до крадіжки особистих коштів або конфіденційної інформації.
(Проблеми з конференц-зв'язком? Будьте обережні, це можуть бути хакери з Північної Кореї, які маскуються під VC, розсилаючи фішингові посилання для відновлення зв'язку )
Частота вимагання зростає, загрози витоку інформації виникають одна за одною
Зважаючи на позови та санкційний тиск з боку США, частота атак з викупом з боку північнокорейських IT-фахівців продовжує зростати з жовтня минулого року. Вони чинять тиск на великі компанії, погрожуючи розкриттям конфіденційних даних або продажем їх конкурентам:
В минулому були випадки, коли IT-спеціалісти після звільнення намагалися повернутися на роботу під іншими іменами. Зараз вони безпосередньо використовують внутрішні конфіденційні документи та проектні дані як важіль для підтримки доходів країни.
(Спільна заява трьох країн: США, Японії та Південної Кореї попереджає: загроза з боку північнокорейських крипто-кіберзлочинців зростає, необхідно спільно протидіяти )
GTIG виявили, що на сьогоднішній день вони брали участь у кількох проектах, включаючи розроблені на Solana та Rust блокчейн-додатки, AI-сайти або додатки на базі Electron або Next.js, а також автоматизовані роботи та системи управління контентом:
Деякі проекти пов'язані з чутливими технологіями, а виплата винагороди часто здійснюється у криптовалюті, що ускладнює відстеження джерел і напрямків фінансування.
Зручно, коли на випадок? BYOD середовище праці стає новою вразливістю
Крім того, GTIG також особливо зазначає, що через те, що деякі підприємства впроваджують політику «принеси свій пристрій (Bring Your Own Device, BYOD)», яка дозволяє співробітникам віддалено отримувати доступ до системи компанії через особисті пристрої, це може призвести до збоїв у традиційному моніторингу інформаційної безпеки та ідентифікації пристроїв:
Технічні фахівці Північної Кореї вважають середовище BYOD ідеальною метою і почнуть діяти в таких підприємствах на початку 2025 року. Відсутність повного моніторингу, відстеження пристроїв та функцій запису дозволяє їм легше ховатися в середовищі, виконуючи крадіжку даних та інші зловмисні дії.
Глобальні компанії сигналізують тривогу, закликаючи посилити верифікацію та моніторинг кібербезпеки
Атаки північнокорейських хакерів продовжують змінюватися. Федеральне бюро розслідувань (FBI) та блокчейн-детектив ZachXBT кілька місяців тому викрили, що вони проводять ретельно сплановані та важко виявлені соціальні інженерні атаки (Social Engineering Attack) на криптовалютні проекти та пов'язані компанії, намагаючись поширити шкідливе програмне забезпечення та вкрасти криптовалютні активи компаній.
(ZachXBT викрив північнокорейську хакерську злочинну мережу, що маскується під команду розробників, та знову викрав гроші: місячний дохід 500 тисяч доларів)
З огляду на такі дії проникнення, підприємства повинні підвищити обізнаність, зміцнити перевірку фону кандидатів, процеси верифікації та захист інформаційної безпеки, особливо щодо контролю віддалених працівників та аутсорсингових платформ:
Північна Корея створила повноцінну мережу операцій з фальшивими особистостями та міжнародну систему підтримки, чия гнучкість і масштаби проникнення роблять її великою загрозою безпеці світової технологічної індустрії.
Ця стаття Google: випадок проникнення північнокорейських фальшивих інженерів поширився на Великобританію, ризики кібербезпеки підприємств викликають тривогу. Спочатку з'явилася на Chain News ABMedia.