Исследователи картируют полную организационную структуру мошенничества: от подозрительных рекрутеров до полезных западных пособников. — theregister.com
Исследователи из IBM X‑Force и Flare Research обнаружили данные, проливающие свет на то, как действуют схемы северокорейских фальшивых ИТ-специалистов, внедряющихся в компании с целью перевода средств режиму и кражи конфиденциальной информации.
В опубликованном отчете под названием «Внутри угрозы северокорейского внедрения» (Inside the North Korean infiltrator threat) обе компании подробно описывают доказательства инфраструктуры высшего уровня, используемой для управления операциями, то, как работники подают заявки и получают ИТ-должности, а также стратегии смягчения последствий, которые могут использовать предприятия, чтобы избежать попадания в число жертв.
Угроза, исходящая от граждан Северной Кореи, работающих в качестве удаленных ИТ-подрядчиков или штатных ИТ-сотрудников в ничего не подозревающих компаниях, стала очевидной за последние несколько лет, однако, как утверждается в отчете, эксперты по безопасности только начинают осознавать масштаб и изощренность этой операции.
В нем приводятся данные правительства США о том, что эти ИТ-работники могут зарабатывать более 300 000 долларов в год, а более 100 000 северокорейцев, распределенных по 40 странам, приносят Пхеньяну около 500 миллионов долларов в год.
Исследователи обнаружили документы и электронные таблицы, раскрывающие роли в экосистеме фальшивых ИТ-работников, включающей рекрутеров, координаторов, ИТ-работников и пособников/брокеров.
Рекрутеры, подобно добросовестному персоналу по подбору кадров, отвечают за отбор потенциальных ИТ-сотрудников и запись собеседований. Эти материалы отправляются координаторам, которые решают, принять ли их на работу, подобно менеджеру по найму.
Однако неясно, осознают ли многие кандидаты, что их нанимают для работы на «северян». Рекрутеры могут сообщать им, что компания, в которую они устраиваются, является «стартапом на ранней стадии в режиме скрытности» без опубликованной корпоративной информации, часто используя название «C Digital LLC».
Кандидатам оказывают наставническую поддержку в подаче заявок на работу в западных компаниях и предоставляют американскую личность для использования.
Координаторы и ИТ-работники являются наиболее важными ролями в системе. Ожидается, что они имеют опыт в разработке полнофункциональных веб-приложений, .NET и WordPress. Пособники — это западные граждане, предоставляющие свои удостоверения личности для использования в мошеннической схеме с ИТ-работниками и, возможно, помогающие иным образом.
Табели учета рабочего времени, найденные исследователями, детализируют часы, отработанные над «Заявками» (Bids) и «Сообщениями» (Msg) фальшивыми работниками, где «Bids» — это количество заявок, поданных за день на фриланс-сайтах вроде Upwork, а Msg, вероятно, относится к количеству сообщений или контактов, установленных работником в UpWork, LinkedIn или Freelancer.
Работники используют поддельные удостоверения личности для поиска возможностей трудоустройства — поддельные учетные записи или верифицированные учетные записи, связанные с реальными людьми, которые, возможно, неосознанно предоставили работнику доступ.
После трудоустройства на полную ставку фальшивые работники часто добиваются больших успехов, поскольку иногда им помогают несколько человек в выполнении работы, в надежде получить повышение и более привилегированный доступ к ИТ-системам.
Одним из самых важных инструментов для северокорейских ИТ-работников является Google Translate, говорится в отчете. Он используется практически во всех аспектах их онлайн-деятельности, включая перевод описаний вакансий, составление заявок и общение с другими в рамках их работы.
В отчете указаны некоторые инструменты, связанные с фальшивыми работниками, на которые компании могут обратить внимание. Один из них известен как OConnect и/или NetKey — известный северокорейский VPN, вероятно, используемый для подключения к внутренним сетям в Пхеньяне.
Также распространено использование IP Messenger, или IPMsg, — приложения для обмена сообщениями с открытым исходным кодом, которое не требует центрального сервера, а значит, не зависит от централизованных платформ, управляемых американскими компаниями, такими как Discord или Google.
В отчете изложены некоторые стратегии смягчения последствий, включая тревожные признаки, такие как фальшивый фон, использование AI-сменщиков лиц или AI-сменщиков голоса во время онлайн-собеседований. Работодателям также следует обращать внимание на расхождения между резюме кандидата и тем, что он говорит на собеседованиях, например, в отношении языков, которыми он утверждает, что владеет, и места проживания.
В качестве альтернативы существует «убойный» вопрос для собеседования, о котором ранее сообщал The Register: спросите что-нибудь вроде «Насколько толст Ким Чен Ын?», и если перед вами северокореец, он немедленно прервет звонок. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Dan Robinson