Правительство США предупреждает, что Корейская Народно-Демократическая Республика (КНДР) направляет своих ИТ-работников на внештатную работу в компании по всему миру для получения привилегированного доступа, который иногда используется для облегчения кибервзломов.
Тысячи северокорейских «высококвалифицированных ИТ-работников» по указанию или по принуждению своего правительства устраиваются на внештатную работу в организации в более богатых странах.
Они используют различные методы, чтобы скрыть свое северокорейское происхождение, чтобы избежать санкций со стороны США и Организации Объединенных Наций (ООН) в отношении лиц и организаций, поддерживающих режим КНДР.
Помощь Северной Кореи в хакерских операциях
В предупреждении Государственного департамента США, Министерства финансов США и Федерального бюро расследований (ФБР) содержатся тревожные сигналы для компаний, чтобы защитить их от найма или невольного содействия работникам из КНДР.
В предупреждении отмечается, что хотя северокорейцы не обязательно участвуют в кибервзломах, «они использовали привилегированный доступ, полученный в качестве подрядчиков, для осуществления злонамеренных кибервзломов КНДР».
Некоторые из них помогали хакерским операциям Северной Кореи, предоставляя доступ к инфраструктуре или оказывая помощь в отмывании денег и переводах виртуальной валюты.
В некоторых случаях командированные КНДР наемные работники, обычно находящиеся в Китае, России, Африке и Юго-Восточной Азии, помогали продавать данные, похищенные в ходе атак северокорейских хакеров.
Чтобы занять желаемую должность, северокорейские ИТ-работники часто притворяются надомниками, находящимися в США или другой несанкционированной стране. Они также выдают себя за южнокорейских, китайских, японских или восточноевропейских надомников.
Однако кибератаки не являются основной целью получения контрактов северокорейцами. Они работают, чтобы финансово поддержать усилия своего правительства по разработке оружия массового уничтожения (ОМУ, например, ядерного) и баллистических программ.
«Правительство Северной Кореи удерживает до 90 процентов заработной платы зарубежных рабочих, что приносит правительству ежегодный доход в сотни миллионов долларов» — Правительство США
Уклонение от идентификации
ИТ-помощь Северной Кореи в основном сосредоточена на секторе разработки, как программного, так и аппаратного обеспечения, различной сложности. Это включает в себя следующее:
- мобильные и веб-приложения
- графическая анимация
- игорные программы
- искусственный интеллект
- виртуальная и дополненная реальность
- распознавание лиц и биометрические данные
- разработка и управление базой данных
Чтобы скрыть свою настоящую личность и выдать себя за человека из страны, не находящейся под санкциями, северокорейские ИТ-специалисты часто меняют свои имена, используют подключения к виртуальной частной сети (VPN) или используют IP-адреса из других регионов.
Они часто используют прокси на различных платформах для торгов, чтобы получить работу, а также покупают учетные записи у лиц, не имеющих явной принадлежности к КНДР в своем профиле, таким образом, используя в своих интересах рекламируемый опыт работы этого человека, чтобы легче получить работу фрилансера.
Они устанавливают деловые отношения с другими внештатными работниками на платформе, чтобы получить доступ к новым контрактам и выполнять свою работу через американскую или европейскую инфраструктуру, что позволяет им проскользнуть мимо механизмов безопасности для мошеннического использования.
«Создавая аккаунты с помощью других внештатных работников, ИТ-работники из КНДР могут выдавать себя за граждан третьих стран, которым нужны американские или другие западные удостоверения личности и аккаунты на фриланс-платформах, чтобы заработать больше денег» — правительство США.
Использование поддельных удостоверений личности (иногда украденных), поддельных подписей, специальных устройств для каждого счета и банковских услуг — это часть типичных методов, с помощью которых северокорейцы уклоняются от обнаружения, санкций и усилий по отмыванию денег.
Получив внештатную работу в компании, они, скорее всего, будут рекомендовать других ИТ-работников из КНДР.
Красные флаги
Некоторые подсказки, которые платформы для внештатной работы и оплаты должны искать в качестве признака северокорейского ИТ-специалиста, включают следующее:
- входы в одну и ту же учетную запись с разных IP-адресов за короткое время, особенно если они из разных стран
- вход нескольких разработчиков с одного и того же IP-адреса
- технические подсказки, указывающие на использование программного обеспечения для удаленного доступа к рабочему столу или VPN-подключение
- частое использование шаблонных документов (торги, проект)
- учетные записи, получившие положительные оценки от одного клиента с аналогичной документацией по настройке учетных записей разработчиков
- частые денежные переводы, особенно в банки Китая, особенно если они проходят через хотя бы одну компанию
Компании, нанимающие разработчиков-фрилансеров, должны обращать внимание на следующие признаки, которые могут указывать на ИТ-специалиста из КНДР:
- использование цифровых платежных сервисов, особенно если они связаны с Китаем
- несоответствия в личных и профессиональных данных (написание имени, национальность, контактные данные, образование и т. д.)
- удивительные веб-сайты портфолио, социальные сети или профили разработчиков
- прямые сообщения или холодные звонки от лиц, утверждающих, что они являются руководителями высшего звена, от программного обеспечения для услуг или для рекламы навыков
- адрес назначения для получения предметов, связанных с работой, которых нет в документе, удостоверяющем личность разработчика.
- просят оплату в виртуальной валюте
- неправильная или изменяющаяся контактная информация (номера телефонов, электронная почта)
- просить коллег одолжить часть их личной информации для получения других контрактов
Вышеприведенное — лишь некоторые признаки того, что ИТ-специалист КНДР пытается устроиться на работу в компанию, занимающуюся поддержкой северокорейских военных разработок. Полный список доступен в бюллетене, опубликованном Министерством финансов США.
Тендерные платформы и компании должны проявлять должную осмотрительность, например, проверять личность разработчика на наличие потенциальных признаков мошенничества, прежде чем разрешить ему заключать рабочие соглашения.
Поддержка деятельности ИТ-специалиста КНДР влечет за собой юридические последствия, связанные с запрещенным или санкционированным поведением.
Последнее обновление 05.01.2023
