Severokorejští pracovníci v oblasti informačních technologií (IT), kteří se nechávají zaměstnat pod falešnou identitou v západních firmách, nejenže kradou duševní vlastnictví, ale navíc požadují výkupné za to, že je nevynesou ven, což představuje nový zvrat v jejich finančně motivovaných útocích.
„V některých případech podvodní pracovníci požadovali výkupné od svých bývalých zaměstnavatelů poté, co získali přístup k interním informacím, což je taktika, která nebyla v dřívějších schématech pozorována,“ uvedla jednotka pro boj s hrozbami (CTU) společnosti Secureworks v analýze zveřejněné tento týden. „V jednom případě dodavatel exfiltroval proprietární data téměř okamžitě po nástupu do zaměstnání v polovině roku 2024.“
Společnost zabývající se kybernetickou bezpečností dodala, že tato aktivita má společné rysy se skupinou hrozeb, kterou sleduje pod názvem Nickel Tapestry a která je známá také jako Famous Chollima a UNC5267.
Schéma podvodných IT pracovníků, organizované s úmyslem podpořit strategické a finanční zájmy Severní Koreje, odkazuje na operaci vnitřních hrozeb, která zahrnuje infiltraci společností na Západě za účelem nezákonného generování příjmů pro sankcemi postiženou zemi.
Tito severokorejští pracovníci jsou obvykle vysíláni do zemí, jako je Čína a Rusko, odkud se vydávají za nezávislé pracovníky hledající potenciální pracovní příležitosti. Další možností je krádež identity legitimních osob pobývajících v USA za účelem dosažení stejných cílů.
Je také známo, že žádají o změnu doručovacích adres u notebooků vydaných společností a často je přesměrovávají na zprostředkovatele na farmách notebooků, kteří jsou za své úsilí odměňováni zprostředkovateli se sídlem v zahraničí a jsou zodpovědní za instalaci softwaru vzdálené plochy, který umožňuje severokorejským aktérům připojit se k počítačům.
Navíc může dojít k tomu, že si jedna společnost najme více smluvních partnerů, případně může jeden člověk převzít několik osob.
Společnost Secureworks uvedla, že zaznamenala také případy, kdy falešní kontraktoři žádali o povolení používat své vlastní osobní notebooky, a dokonce způsobili, že organizace zásilku notebooku zcela zrušily, protože během přepravy změnili doručovací adresu.
„Toto chování je v souladu s Nickel Tapestry tradecraft, který se snaží vyhnout firemním notebookům, čímž potenciálně eliminuje potřebu prostředníka v zemi a omezuje přístup k forenzním důkazům,“ uvedla společnost. „Tato taktika umožňuje dodavatelům používat jejich osobní notebooky ke vzdálenému přístupu do sítě organizace.“
Na znamení toho, že se aktéři hrozeb vyvíjejí a posouvají své aktivity na další úroveň, se objevily důkazy, které ukazují, jak se dodavatel, s nímž nejmenovaná společnost ukončila pracovní poměr kvůli špatným výsledkům, uchýlil k zasílání vyděračských e-mailů včetně příloh ZIP obsahujících důkazy o ukradených datech.
„Tento posun výrazně mění rizikový profil spojený s neúmyslným zaměstnáváním severokorejských IT pracovníků,“ uvedl Rafe Pilling, ředitel oddělení Threat Intelligence ve společnosti Secureworks CTU. „Už jim nejde jen o stálou výplatu, ale hledají vyšší částky, a to rychleji, prostřednictvím krádeží dat a vydírání, zevnitř firemní obrany.“
Pilling řekl, že celková operace severokorejských IT pracovníků ovlivňuje stovky, ne-li tisíce rolí po celém světě, ačkoli se zdá, že jen malé procento událostí se mění ve scénáře vydírání. Tyto snahy se zaměřují především na společnosti, které vyvíjejí software a využívají k tomu vzdálené dodavatele.
V rámci řešení této hrozby byly organizace vyzvány, aby byly během náboru ostražité, včetně důkladného prověřování totožnosti, provádění osobních pohovorů nebo pohovorů prostřednictvím videa, a aby si dávaly pozor na pokusy o přesměrování firemního IT vybavení zasílaného na deklarovanou domácí adresu kontraktorů, směrování výplat na služby převodu peněz a přístup do firemní sítě pomocí neoprávněných nástrojů vzdáleného přístupu.
„Tato eskalace a chování uvedené v upozornění FBI ukazují na vypočítavou povahu těchto schémat,“ uvedl Secureworks CTU a poukázal na podezřelé finanční chování pracovníků a jejich pokusy vyhnout se povolení videa během hovorů.
„Objevení se požadavků na výkupné představuje pozoruhodný odklon od předchozích schémat Nickel Tapestry. Činnost pozorovaná před vydíráním se však shoduje s předchozími schématy zahrnujícími severokorejské pracovníky.“
Zdroj: thehackernews.com
Zdroj: IT SECURITY NETWORK NEWS
Zdroj: ICT NETWORK NEWS
