Удаленная работа по-северокорейски: взлом вместо дедлайнов

Согласно новому отчету Secureworks, сотрудники правительства Северной Кореи, тайно нанятые IT-работниками в США, Великобритании и Австралии, начали шантажировать компании, получив доступ к их внутренним данным.

Специалисты выявили несколько технических и поведенческих признаков, присущих подобным схемам. В некоторых случаях мошенники после трудоустройства (под поддельными документами), получив доступ к внутренним системам, начали вымогать деньги у работодателей. Один из инцидентов произошёл в середине 2024 года, когда новый сотрудник украл конфиденциальные данные сразу после начала работы. Такие атаки напоминают действия группировки NICKEL TAPESTRY, ранее использовавшей IT-мошенников для финансирования северокорейской военной программы.

После трудоустройства (под поддельными документами) мошенники начали требовать выкуп у бывших работодателей, используя украденные данные. В одном из случаев новый сотрудник успел скопировать конфиденциальные данные сразу после начала работы в середине 2024 года. Мошенник перенёс корпоративные данные в свой Google Drive с помощью VDI. Для маскировки использовались IP-адреса из сети Astrill VPN и прокси-серверов.

После увольнения из-за неудовлетворительных результатов компания получила серию писем с требованиями выкупа в криптовалюте, чтобы избежать публикации документов. К письмам прилагались архивы, подтверждающие факт кражи данных. В другом сообщении, отправленном уже с другого почтового сервиса, мошенник предоставил дополнительные доказательства кражи информации, показывая серьёзность намерений.

Secureworks отмечает, что инцидент подтверждает расширение северокорейской операции: кроме вымогательства и утечки данных, теперь целью становится получение интеллектуальной собственности для финансовой выгоды.

Одним из распространённых приёмов стало изменение адреса доставки корпоративных ноутбуков на подставные места, известные как фермы ноутбуков. В некоторых случаях обманщики предпочитали использовать личные устройства вместо служебных или подключаться через виртуальные рабочие столы (VDI), что позволяло скрыть своё местоположение и затруднить расследование инцидентов.

Злоумышленники также использовали AnyDesk и Chrome Remote Desktop для удалённого доступа, что не соответствовало их должностным обязанностям. Анализ подключений показал, что эти программы были настроены на работу через Astrill VPN, что указывает на принадлежность к инструментам NICKEL TAPESTRY.

Также северокорейские специалисты активно избегают видеозвонков, но в последнее время начали использовать программное обеспечение SplitCam, которая помогает скрыть личность на видеоконференциях, одновременно участвуя в нескольких звонках с одной веб-камеры. Secureworks предполагает, что использование подобных инструментов демонстрирует попытки приспособиться к требованиям компаний о включении видеосвязи.

Финансовое поведение обманщиков также вызывало подозрения. Они часто меняли банковские счета для получения зарплаты, используя цифровые платёжные сервисы, такие как Payoneer, чтобы обходить традиционные банковские системы. Подобные финансовые манипуляции — одна из особенностей схем NICKEL TAPESTRY.

Расследования показали, что мошенники иногда устраивались в одну и ту же компанию группами. Они рекомендовали друг друга на должности и действовали под разными личностями. В некоторых случаях один человек использовал несколько аккаунтов, подстраивая стиль письма под разные роли, чтобы создать видимость разных сотрудников.

Переход к вымогательству выкупа стал новым этапом в тактике NICKEL TAPESTRY. Эти действия изменяют риск для компаний, поскольку мошенники теперь не только получают зарплату, но и угрожают публикацией украденных данных. Организации, нанимающие удалённых IT-специалистов, должны быть особенно внимательны к кандидатам, которые проявляют следующие признаки:

• Устраиваются на должности full stack разработчиков;
• Указывают 8–10 лет опыта и 3–4 предыдущих работодателя;
• Демонстрируют начальный или средний уровень владения английским языком;
• Используют резюме с элементами, повторяющимися у других кандидатов;
• Отказываются включать камеру на собеседованиях или используют виртуальные фоны;
• Звучат так, будто говорят из колл-центра;
• Меняют адреса доставки и банковские реквизиты в процессе найма.

Secureworks рекомендует проверять документы кандидатов на соответствие и проводить видеособеседования для выявления подозрительного поведения. Также стоит ограничить использование несанкционированных удалённых инструментов и следить за изменениями в способах получения заработной платы.