Google je nedavno kontaktiran od strane nekoliko velikih američkih kompanija koje su otkrile da su nesvjesno zaposlile Sjevernokorejce koji su koristili lažne identitete za IT poslove od kuće. U izvještaju objavljenom u ponedjeljak od strane kompanije Mandiant, istraživači opisuju uobičajenu šemu koju je organizovala grupa koju prate kao UNC5267, a koja je aktivna od 2018. godine. U većini slučajeva, IT radnici “sastoje se od pojedinaca koje je sjevernokorejska vlada poslala da žive uglavnom u Kini i Rusiji, s manjim brojem u Africi i jugoistočnoj Aziji”.
Cilj je da radnici zarađuju plate u više kompanija – generirajući prihod za sjevernokorejsku vladu – i da steknu ključni pristup američkim tehnološkim kompanijama koje se mogu koristiti za daljnje cyber napade ili upade izvana. Radnici na daljinu “često dobiju veće privilegije i upravljanje mrežnim sistemima”, otkrio je Mandiant, upozoravajući na posljedice dopuštanja zlonamjernih aktera u IT sisteme kompanije. Charles Carmakal, CTO Mandiant-a, izjavio je u saopćenju da je razgovarao s “desetinama Fortune 100 kompanija koje su slučajno zaposlile IT radnike iz Sjeverne Koreje”.
“IT radnici iz Sjeverne Koreje često imaju više poslova s različitim organizacijama istovremeno, i često imaju veće privilegije i pristup proizvodnim sistemima ili mogućnost da izvrše promjene u izvornom kodu aplikacije”, rekao je Carmakal. “Postoji zabrinutost da bi mogli koristiti ovaj pristup za umetanje i širenje malicioznog koda u budućnosti. Svaka Fortune 100 kompanija treba razmišljati o ovom problemu.”
Lažni identiteti i farme laptopa
Koristeći ukradene ili fiktivne identitete, maliciozni akteri su općenito zaposleni kao IT radnici na daljinu (rad od kuće i sl.). Mandiant je vidio da su radnici zaposleni u različitim i složenim ulogama u nekoliko sektora. Neki radnici su zaposleni u više kompanija, zarađujući nekoliko plata svakog mjeseca.
Taktika je olakšana od strane nekoga sa sjedištem u SAD-u koji vodi “farmu laptopa” gdje se šalju laptopi radnika. Udaljena tehnologija je instalirana na laptope, omogućavajući Sjevernokorejcima da se prijave i obavljaju svoj rad iz Kine ili Rusije.
Ministarstvo pravde SAD-a je u posljednjih nekoliko mjeseci uhapsio i optužio nekoliko američkih državljana za upravljanje ovim farmama laptopa i u jednom slučaju je pronašao Amerikanca koji je koristio 60 ukradenih identiteta za olakšavanje zaposlenja u više od 300 američkih kompanija za radnike iz Sjeverne Koreje. Radnici su zaradili najmanje 6,8 miliona dolara od oktobra 2020. do oktobra 2023. godine. Oni su obično tražili da se njihovi radni laptopi šalju na različite adrese od onih navedenih na njihovim biografijama, što je izazvalo sumnju kompanija u njihov identitet.
Mandiant je rekao da je pronašao dokaze da su laptopi na tim farmama povezani sa “uređajem za tastaturu, video i miš” ili više alata za udaljeno upravljanje, uključujući LogMeIn, GoToMeeting, Chrome Remote Desktop, AnyDesk, TeamViewer i druge. “Povratne informacije od članova tima i menadžera koji su razgovarali s Mandiant-om tokom istraga dosljedno su istaknuli obrasce ponašanja kod ovih radnika, kao što je odbijanje da se uključe u video komunikaciju i ispodprosječni kvalitet rada koji je pokazao IT radnik koji je daljinski upravljao laptopima”, objasnili su iz kompanije Mandiant.
U nekoliko angažmana za odgovor na incidente, Mandiant je otkrio da su radnici koristili iste biografije koje su imali vezu s izmišljenim profilima softverskih inženjera smještenih na Netlifyju, platformi koja se često koristi za brzo kreiranje i postavljanje web stranica. Mnoge od biografija i profila uključivali su loš engleski jezik i druge znakove koji ukazuju na to da radnik nije bio sa sjedištem u SAD-u.
Jedna karakteristika koja se ponavljala bila je korištenje adresa sa sjedištem u SAD-u uz diplome i druge certifikate sa univerziteta izvan Sjeverne Amerike, često u zemljama poput Singapura, Japana ili Hong Konga. Kompanije, prema Mandiant-u, obično ne provjeravaju diplome i certifikate sa univerziteta u inostranstvu.
Mandiant je pozvao kompanije da provode strožije mjere i provjere potencijalnih zaspolenika, zahtijevaju intervjue na kameru, ovjerene dokaze o identitetu i provjeravaju da lokacija laptopa odgovara adresi radnika. Kompanije bi također trebale razmotriti praćenje i zabranu korištenja alata za udaljeno upravljanje, VPN alata i softvera za “simulaciju miša”. Jedna trik koju je Mandiant predložio je da se radnici zamole da naglas izgovore serijski broj laptopa tokom probnog rada kao test.
Michael Barnhart, glavni analitičar u kompaniji Mandiant, rekao je da je njegova najveća briga šta se događa kada su radnici zaposleni dovoljno dugo da bi mogli pokrenuti široke napade na organizaciju. “Ovi IT radnici bi mogli lako dobiti upute sutra da rasporede ransomware i istovremeno onemoguće rad velikih organizacija širom SAD-a i Evrope vrlo brzo ako bi to željeli”, rekao je on.
Prethodna upozorenja američkih agencija za provođenje zakona navela su da neki od radnika zarađuju do 300.000 dolara godišnje, zajednički generirajući stotine miliona za sjevernokorejski režim i njegove programe naoružanja. Nekoliko federalnih agencija za provođenje zakona pokrenulo je inicijativu u martu 2024. godine koja je dizajnirana da zatvori američke farme laptopa.
Američki službenici za provedbu zakona su ranije zatvorili 17 web domena i zaplijenili 1,5 miliona dolara prošle godine u operaciji koja je ciljala infrastrukturu koju je koristila sjevernokorejska vlada za olakšavanje ovakvih šema za zapošaljavanje i rad IT radnika na daljinu. Prošle godine je američko Ministarstvo financija objavilo sankcije protiv četiri organizacije koje zapošljavaju hiljade sjevernokorejskih IT radnika a koji pomažu nezakonito finansirati vojne i druge programe ovog režima.
Google Mandiant je kompanija za cyber sigurnost koja se specijalizira za obavještajne podatke o prijetnjama, odgovor na incidente i konsalting usluge. Osnovana je 2010. godine kada je Google kupio Mandiant, vodeću kompaniju za cyber sigurnost poznatu po svom stručnom znanju u otkrivanju i odgovaranju na napredne cyber prijetnje.