IT-воины КНДР превратили удаленную работу в инструмент шпионажа

ФБР предупреждает о новых угрозах со стороны северокорейских IT-специалистов, которые с помощью удалённого доступа воруют исходный код и вымогают деньги у компаний в США и по всему миру. Спецслужба обратилась к организациям частного и государственного секторов, подчеркнув, что действия так называемой «IT-армии» Северной Кореи способствуют киберпреступлениям и шантажу.

Специалисты из КНДР копируют репозитории компаний, включая GitHub, на свои личные облачные хранилища. Хотя подобная практика распространена среди разработчиков, в данном случае она представляет серьёзный риск для безопасности корпоративных данных. Злоумышленники также могут пытаться получить доступ к конфиденциальной информации, включая учетные данные и куки сессий, для компрометации корпоративных систем.

Северокорейские IT-специалисты, называющие себя «IT-воинами», подключаются к корпоративным сетям через «фермы ноутбуков», зарегистрированные на территории США. После увольнения (иногда и после трудоустройства) сотрудники используют украденную инсайдерскую информацию для шантажа бывших работодателей, угрожая опубликовать данные.

Специалисты КНДР расширяют свою деятельность, проникая в крупные организации и экспортируя свой опыт на другие рынки, включая Европу. Более того, использование виртуальных рабочих столов вместо физического оборудования для удалённых сотрудников облегчает маскировку активности.

ФБР советует компаниям ограничивать привилегии сотрудников, отключая учётные записи локальных администраторов, а также мониторить сетевой трафик и удалённые подключения, особенно если доступ осуществляется с разных IP-адресов в короткий промежуток времени. Кроме того, следует внимательно проверять сетевые журналы и сессии браузеров на наличие признаков утечки данных через общие диски, облачные хранилища и закрытые репозитории кода.

Для усиления удалённых процессов найма рекомендуется проверять личности кандидатов во время интервью и адаптации, а также сверять данные резюме на наличие схожих деталей или контактной информации. ФБР также отмечает, что северокорейские IT-работники используют дипфейки, чтобы скрывать свои личности во время собеседований по видео.

Компании должны быть особенно внимательны к изменениям платёжных данных и контактной информации сотрудников на этапе оформления на работу, так как злоумышленники часто используют одни и те же адреса электронной почты и номера телефонов в разных резюме. Среди других рекомендаций — использование проверенных кадровых агентств, проведение очных этапов собеседований и детальная проверка образования и опыта кандидатов.