Схема с подставными ИТ-сотрудниками из КНДР представляет серьезную угрозу. Хотя лучшие практики требуют мер предосторожности при найме, обнаружить таких оперативников сложно. Недавний случай показал, что сочетание поведенческой аналитики, разведданных об угрозах и аномалий геолокации стало ключевым для выявления шпиона. — csoonline.com
Схема с подставными ИТ-сотрудниками из Северной Кореи стала пагубной угрозой для целого ряда отраслей. В то время как лучшие практики подчеркивают необходимость мер предосторожности на этапе найма, после принятия на работу таких оперативников бывает сложно обнаружить. Сочетание поведенческой аналитики, разведывательных данных об угрозах и других сведений формируется как важнейшее средство защиты, о чем свидетельствует недавний случай.
Согласно недавнему отчету LevelBlue SpiderLabs, подозреваемый в связях с Северной Кореей оперативник был нанят, прошел проверки безопасности и был назначен для работы с данными Salesforce, прежде чем его выявили и уволили 10 дней спустя. Для обнаружения угрозы потребовалось сочетание аномалий геолокации, доступа с неуправляемого устройства и корреляции разведывательных данных об угрозах.
В августе 2025 года рутинная процедура приема на работу быстро дала сбой, когда поведенческая аналитика Cybereason XDR зафиксировала подозрительные шаблоны входа в систему, а разведывательные данные LevelBlue SpiderLabs подтвердили, что организация неосознанно наняла злоумышленника.
Когда администратор организации активировал учетную запись нового сотрудника в EntraID, команда заметила, что новый сотрудник использовал вход в EntraID с IP-адреса из Далласа, штат Техас, что отличалось от его обычных регионов входа (Китай). Вход в EntraID был осуществлен с неуправляемого устройства с использованием IP-адреса VPN-сервиса Astrill, который обычно используют ИТ-специалисты, связанные с Северной Кореей.
Туэ Луу, инженер по обнаружению угроз в LevelBlue SpiderLabs, сообщил CSO, что именно корреляция разведывательных данных об угрозах заставила забить тревогу. «Эти вещи редко определяются по одному элементу информации, телеметрии или поведению; скорее, они являются результатом стечения подозрений и статистических аномалий».
Схема с подставными ИТ-работниками из Северной Кореи может позволить оперативникам красть конфиденциальные данные, проприетарный исходный код, коммерческую тайну и интеллектуальную собственность. Она может подвергнуть организации требованиям о выкупе и сбору учетных данных для поддержания постоянного несанкционированного доступа.
«Это идеальный троянский конь: его трудно смягчить, особенно если они проходят вашу проверку сотрудников», — сказал Луу.
По оценкам, схемы с удаленными работниками, связанными с Северной Кореей, проникли в сотни организаций по всему миру, принося режиму от $250 миллионов до $500 миллионов ежегодно.
Как схема разворачивалась подробно
Пятница: Злоумышленник нанят в качестве удаленного сотрудника, назначенного для работы с данными Salesforce, и прошел стандартные процедуры верификации.
С пятницы по среду: Cybereason XDR установил поведенческий базис, показывающий стабильные входы в систему из Китая.
Четверг: Обнаружена аномалия входа в систему, вызвавшая оповещение высокой степени критичности.
Пятница: Разведывательные данные об угрозах совпали с сигналом OTX об инфраструктуре Astrill VPN, используемой северокорейскими акторами.
Понедельник: Учетная запись пользователя отозвана, начато расширенное расследование.
В ходе глубокого анализа команда SpiderLabs изучила взаимодействия сотрудников, добавление в групповые чаты и другие материалы в поисках доказательств механизмов сохранения присутствия и инструментов удаленного доступа. Они не нашли никаких следов остаточного доступа, бэкдоров или вредоносных артефактов, что объясняется скоростью обнаружения.
В большинстве случаев эти недобросовестные инсайдеры пытаются действовать скрытно.
«Пока они не активируют слишком много систем контроля компании, возможно, используя каналы связи, которые проходят проверку прокси-серверов, вы можете увидеть такие методы, как клиенты чата QQ, сайты типа pastebin или даже общие черновики электронной почты в облаке для передачи информации», — сказал Луу.
Ключевые признаки проникновения инсайдеров, связанных с КНДР
SpiderLabs обнаружили, что эти акторы угроз часто действуют из Китая, а не из Северной Кореи, потому что там более стабильный интернет, и они могут использовать VPN-сервисы для сокрытия своего истинного географического происхождения.
Astrill VPN позволяет обходить Великий китайский файрвол и туннелировать трафик через выходные узлы США, маскируясь под законных местных сотрудников. В результате события аутентификации из известных диапазонов IP-адресов Astrill VPN представляют собой высокоточный индикатор компрометации.
Однако в данном случае сам VPN был не единственным признаком того, что что-то не так.
«Я полагаю, что здесь произошло то, что Astrill VPN не являлся стандартным решением, используемым в конкретной среде, которую мы мониторили для клиента в этом случае. Если бы он был стандартным, то этот конкретный индикатор, возможно, не имел бы такого большого веса», — сказал Луу.
«Настоящая аномалия заключается в том, что использование этого конкретного программного обеспечения VPN было необычным для данной конкретной среды. Существуют личные VPN и корпоративные VPN, и решение XDR может различать личные и корпоративные VPN-решения и оповещать только об использовании личных VPN», — добавил Луу.
Нет серебряной пули IAM для CISO
Управление идентификацией и доступом (IAM) не предлагает волшебного способа обнаружения подставных ИТ-работников. Как показывает этот пример, обнаружение северокорейского инсайдера требует сопоставления множества сигналов. Эта следственная работа и работа по оповещению могут принимать различные формы.
«Некоторые подходы начинаются с хорошо сегментированных привилегий и постепенно наращивают их со временем по мере установления доверия и стажа, чтобы „медленно вводить“ рискованных наемных сотрудников», — сказал Луу CSO.
В некоторых случаях это поиск активности входа в систему или работы вне обычных рабочих часов для определенной географии.
«Безусловно, совокупность подозрений помогает. Например, получают ли сотрудники доступ к данным или пытаются ли они аутентифицировать данные, хосты или приложения вне своих установленных ролей?» — отметил Луу.
Напоминание для CISO — обеспечить надежность процессов приема на работу и их регулярный пересмотр. «Узнайте, какое программное обеспечение является „нормальным“ в вашей среде, и установите стандарты программного обеспечения, а также убедитесь, что у сотрудников есть устройства, управляемые компанией, предпочтительно Windows для большего контроля», — посоветовал Луу. «Убедитесь, что ИТ-администраторы применяют политику условного доступа EntraID для блокировки входов из разрешенных регионов или областей, где работают сотрудники. У клиента не была активирована политика условного доступа до инцидента, и они применили ее после по рекомендации Cybereason».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Rosalyn Page