Північнокорейські хакери розробили складні схеми для викрадення криптовалюти, маскуючись під рекрутерів, ІТ-працівників і навіть представників венчурного бізнесу. Про це повідомили дослідники кібербезпеки на щорічній конференції Cyberwarcon, яка відбулася у Вашингтоні, округ Колумбія, передає TechCrunch.

За словами експертів, хакери від імені Північної Кореї не лише викрадають корпоративні секрети, але й заробляють кошти для фінансування ядерної програми країни. За останнє десятиліття ці зловмисники викрали криптовалюту на мільярди доларів, уникаючи міжнародних санкцій.

Як діють північнокорейські хакери

Microsoft повідомляє, що ІТ-фахівці з Північної Кореї вже проникли в сотні компаній по всьому світу, створюючи фальшиві облікові дані. Для уникнення санкцій вони користуються послугами посередників з США, які надають їм обладнання та заробляють на цьому гроші. 

Дослідники виявили різні тактики груп, які Microsoft називає Ruby Sleet і Sapphire Sleet. Перша атакувала компанії оборонної та аерокосмічної галузей, щоб отримати доступ до секретних технологій, корисних для розробки зброї та навігаційних систем.

Друга група створювала фальшиві профілі рекрутерів і венчурних інвесторів, спрямованих на крадіжку криптовалюти в окремих осіб і компаній. Вони використовували віртуальну зустріч, але насправді вона була розроблена таким чином, щоб завантажувати шкідливе програмне забезпечення. Microsoft заявила, що лише за шість місяців хакери вкрали щонайменше $10 млн у криптовалюті. 

Хакери також користуються бумом віддаленої роботи, що почався під час пандемії COVID-19, отримуючи роботу в міжнародних компаніях. Вони створюють фальшиві акаунти на платформах, таких як LinkedIn і GitHub, а для підтвердження своєї «особистості» використовують ШІ-технології, зокрема deepfakes (зміни обличчя та голосу).

Після найму компанія відправляє новий ноутбук працівника на домашню адресу в США, яка, без відома для компанії, належить посереднику.

У Microsoft також заявили, що отримати доступ до публічного репозиторію одного з північнокорейських хакерів. У ньому були детальні інструкції для операцій, фальшиві резюме та досьє фейкових співробітників, а також дані про отримані кошти.

Попри масштабність загрози, лише кілька компаній публічно зізналися, що стали жертвами таких атак. Раніше цього року компанія з питань безпеки KnowBe4 заявила, що через обман найняла на роботу північнокорейського працівника, але компанія заблокувала віддалений доступ працівника, як тільки зрозуміла, що її обдурили, і заявила, що жодних даних про компанію не було викрадено.

У Microsoft заявили, що хакери діють не лише з Північної Кореї, але й з двох близьких союзників країни — росії та Китаю.

Що робити компаніям

Експерти наголошують на важливості більш ретельної перевірки кандидатів на роботу, адже загроза не зникне найближчим часом.

Нагадаємо, з 2000 по 2023 роки у світі було зафіксовано 2506 політично мотивованих кібератак. Лідерами за кількістю відомих атак є Китай і росія, на яких припадає майже 12% та 11,6% атак відповідно. Північна Корея (4,7%) також входить до числа цих країн.