Търсене
Close this search box.

Според Microsoft схемата за фалшиви ИТ работници в Северна Корея е разпространена в световен мащаб, като са засегнати и предприятия в Китай, Русия и други страни.

Последните доклади показват, че стотици компании в САЩ, Обединеното кралство и Австралия са наели фалшиви ИТ работници от Северна Корея, които са генерирали милиони приходи за режима в Пхенян между 2020 и 2023 г.

Освен че генерират средства, които подхранват оръжейната програма на Северна Корея, фалшивите ИТ работници могат също така да крадат данни от наетите компании и да ги изнудват, заяви Microsoft в презентация на конференцията CYBERWARCON миналата седмица.

Северна Корея заобикаля „санкциите и другите финансови бариери на САЩ и редица други държави чрез внедряване на севернокорейски ИТ работници в Русия, Китай и други държави“, казва технологичният гигант.

Хиляди такива работници са изпратени в чужбина с помощта на трети страни, които могат да им създадат или да наемат банкови сметки, да закупят мобилни телефони и SIM карти от тяхно име и да създадат акаунти в сайтове за социални медии и портали за работа, за да им помогнат да се свържат с набиращите персонал.

В GitHub има стотици фалшиви профили и портфолиа за севернокорейски ИТ работници, а миналия месец Microsoft откри публично хранилище, съдържащо автобиографии и имейл акаунти, VPS и VPN акаунти, наръчници, снимки на участващите лица, информация за портфейла, онлайн акаунти (LinkedIn, GitHub, Upwork, TeamViewer, Telegram и Skype) и лист за проследяване.

За да улеснят намирането на работа, севернокорейските фалшиви ИТ работници крадат самоличността на хората и след това използват инструменти за изкуствен интелект, за да добавят снимките им към документите, откраднати от жертвите им, включително автобиографии и профили, които се подават за кандидатстване за работа. Те експериментират и със софтуер за промяна на гласа.

„Въпреки че не виждаме  заплахите да използват като тактика комбинирани продукти за глас и видео с ИИ, отчитаме, че ако  комбинират тези технологии, е възможно бъдещи кампании да включват ИТ работници, които използват тези програми, за да се опитат да заблудят интервюиращите, че не общуват със севернокорейски ИТ работник“, отбелязва Microsoft.

Други севернокорейски хакери  разчитат на кражбата на криптовалута, за да генерират приходи за режима. Като цяло тези хакерски групи са откраднали милиарди долари в криптовалута.

Една от тях, проследявана като Sapphire Sleet и активна поне от 2020 г., се представя за рисков капиталист или за вербовчик, като разчита на различни тактики, за да убеди набелязаните жертви да изтеглят зловреден софтуер или да разкрият идентификационните си данни, което води до превземане на устройства и кражба на виртуални активи.

Освен това Microsoft е наблюдавала, че колектив, проследен като Ruby Sleet, провежда фишинг кампании срещу сателитни и отбранителни организации, за да разположи задни вратички и да открадне чувствителна информация.

„Ruby Sleet се е насочила и успешно е компрометирала организации, свързани с космическата индустрия и отбраната. Кражбата на технологии, свързани с аерокосмическата и отбранителната индустрия, може да бъде използвана от Северна Корея, за да повиши разбирането си за ракети, безпилотни самолети и други свързани технологии“, отбелязва Microsoft.

В друга презентация на CYBERWARCON Microsoft подробно описва дейността на Storm-2077, свързан с Китай държавно спонсориран колектив, насочен към правителствени и неправителствени организации в САЩ и в чужбина, включително авиацията, отбранителната индустриална база (DIB), финансовите, правните услуги и телекомуникационните организации.

Активен от началото на годината и проследяван също като TAG-100, колективът  разчита на фишинг и използване на крайни устройства за първоначален достъп, събиране на чувствителна информация от имейли и данни за акаунти за по-нататъшен достъп.

„Наблюдавахме също, че Storm-2077 успешно ексфилтрира имейли чрез кражба на идентификационни данни за достъп до легитимни облачни приложения, като например приложения за електронно откриване. В други случаи е наблюдавано как Storm-2077 получава достъп до облачни среди чрез събиране на пълномощия от компрометирани крайни точки. След като получи административен достъп, Storm-2077 създава свое собствено приложение с права за четене на поща“, отбелязва Microsoft.

Това, което отличава Storm-2077 от тълпата, е широката му насоченост към различни сектори. Според Microsoft този колектив не оставя цели зад себе си.

Точно когато Microsoft подробно описваше местонахождението на Storm-2077, Google хвърли светлина върху GlassBridge – група от четири компании, участващи в кампании за дезинформация в подкрепа на китайските интереси. Интернет гигантът е блокирал над 1000 уебсайта, свързани с GlassBridge, за да не се появяват във функциите Google News и Google Discover.

„Не можем да установим кой е наел тези услуги за създаване на сайтовете и публикуване на съдържание, но преценяваме, че фирмите може да получават указания от общ клиент, който е възложил разпространението на про-КНР съдържание чрез имитации на новинарски сайтове“, казва Google.

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
11/12/2024

BadRAM пробива защитите на ...

Академични изследователи са разработили нова атака,...
11/12/2024

Кибератака поставя Krispy K...

Веригата за продажба на понички и...
11/12/2024

Демонстрация: Наръчник на к...

Чудили ли сте се как киберпрестъпниците...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!