Според Microsoft схемата за фалшиви ИТ работници в Северна Корея е разпространена в световен мащаб, като са засегнати и предприятия в Китай, Русия и други страни.

Последните доклади показват, че стотици компании в САЩ, Обединеното кралство и Австралия са наели фалшиви ИТ работници от Северна Корея, които са генерирали милиони приходи за режима в Пхенян между 2020 и 2023 г.

Освен че генерират средства, които подхранват оръжейната програма на Северна Корея, фалшивите ИТ работници могат също така да крадат данни от наетите компании и да ги изнудват, заяви Microsoft в презентация на конференцията CYBERWARCON миналата седмица.

Северна Корея заобикаля „санкциите и другите финансови бариери на САЩ и редица други държави чрез внедряване на севернокорейски ИТ работници в Русия, Китай и други държави“, казва технологичният гигант.

Хиляди такива работници са изпратени в чужбина с помощта на трети страни, които могат да им създадат или да наемат банкови сметки, да закупят мобилни телефони и SIM карти от тяхно име и да създадат акаунти в сайтове за социални медии и портали за работа, за да им помогнат да се свържат с набиращите персонал.

В GitHub има стотици фалшиви профили и портфолиа за севернокорейски ИТ работници, а миналия месец Microsoft откри публично хранилище, съдържащо автобиографии и имейл акаунти, VPS и VPN акаунти, наръчници, снимки на участващите лица, информация за портфейла, онлайн акаунти (LinkedIn, GitHub, Upwork, TeamViewer, Telegram и Skype) и лист за проследяване.

За да улеснят намирането на работа, севернокорейските фалшиви ИТ работници крадат самоличността на хората и след това използват инструменти за изкуствен интелект, за да добавят снимките им към документите, откраднати от жертвите им, включително автобиографии и профили, които се подават за кандидатстване за работа. Те експериментират и със софтуер за промяна на гласа.

„Въпреки че не виждаме  заплахите да използват като тактика комбинирани продукти за глас и видео с ИИ, отчитаме, че ако  комбинират тези технологии, е възможно бъдещи кампании да включват ИТ работници, които използват тези програми, за да се опитат да заблудят интервюиращите, че не общуват със севернокорейски ИТ работник“, отбелязва Microsoft.

Други севернокорейски хакери  разчитат на кражбата на криптовалута, за да генерират приходи за режима. Като цяло тези хакерски групи са откраднали милиарди долари в криптовалута.

Една от тях, проследявана като Sapphire Sleet и активна поне от 2020 г., се представя за рисков капиталист или за вербовчик, като разчита на различни тактики, за да убеди набелязаните жертви да изтеглят зловреден софтуер или да разкрият идентификационните си данни, което води до превземане на устройства и кражба на виртуални активи.

Освен това Microsoft е наблюдавала, че колектив, проследен като Ruby Sleet, провежда фишинг кампании срещу сателитни и отбранителни организации, за да разположи задни вратички и да открадне чувствителна информация.

„Ruby Sleet се е насочила и успешно е компрометирала организации, свързани с космическата индустрия и отбраната. Кражбата на технологии, свързани с аерокосмическата и отбранителната индустрия, може да бъде използвана от Северна Корея, за да повиши разбирането си за ракети, безпилотни самолети и други свързани технологии“, отбелязва Microsoft.

В друга презентация на CYBERWARCON Microsoft подробно описва дейността на Storm-2077, свързан с Китай държавно спонсориран колектив, насочен към правителствени и неправителствени организации в САЩ и в чужбина, включително авиацията, отбранителната индустриална база (DIB), финансовите, правните услуги и телекомуникационните организации.

Активен от началото на годината и проследяван също като TAG-100, колективът  разчита на фишинг и използване на крайни устройства за първоначален достъп, събиране на чувствителна информация от имейли и данни за акаунти за по-нататъшен достъп.

„Наблюдавахме също, че Storm-2077 успешно ексфилтрира имейли чрез кражба на идентификационни данни за достъп до легитимни облачни приложения, като например приложения за електронно откриване. В други случаи е наблюдавано как Storm-2077 получава достъп до облачни среди чрез събиране на пълномощия от компрометирани крайни точки. След като получи административен достъп, Storm-2077 създава свое собствено приложение с права за четене на поща“, отбелязва Microsoft.

Това, което отличава Storm-2077 от тълпата, е широката му насоченост към различни сектори. Според Microsoft този колектив не оставя цели зад себе си.

Точно когато Microsoft подробно описваше местонахождението на Storm-2077, Google хвърли светлина върху GlassBridge – група от четири компании, участващи в кампании за дезинформация в подкрепа на китайските интереси. Интернет гигантът е блокирал над 1000 уебсайта, свързани с GlassBridge, за да не се появяват във функциите Google News и Google Discover.

„Не можем да установим кой е наел тези услуги за създаване на сайтовете и публикуване на съдържание, но преценяваме, че фирмите може да получават указания от общ клиент, който е възложил разпространението на про-КНР съдържание чрез имитации на новинарски сайтове“, казва Google.