Specialiștii informaticieni nord-coreeni, implicați în fraude, furturi și atacuri cibernetice, vizează firme europene prin tentative de angajare, potrivit unui site specializat în tehnologie.
Regimul izolat al Coreei de Nord operează un grup de agenți care se prezintă pentru locuri de muncă la distanță în domeniul tehnologiei, și, în cazul angajării, își canalizează salariile către autoritățile lui Kim Jong Un. Unii dintre aceștia introduc programe dăunătoare pe sistemele victimelor, extrag date confidențiale și solicită răscumpărări.
În cele mai bune situații, unii nu își îndeplinesc obligațiile până la momentul concedierii sau o fac într-un mod minim, uneori pentru a acumula mai multe plăți de la diverși angajatori.
Acești indivizi trimit CV-uri impresionant elaborate și, dacă reusesc să obțină un interviu, încearcă să mascheze accentul și aspectul lor.
Cum operează informaticienii nord-coreeni
Una dintre tacticile lor preferate este să pretindă că webcam-ul lor este defect, evitând astfel apariția video în interviuri. De asemenea, utilizează inteligența artificială generativă pentru a crea portrete sau pentru a oferi răspunsuri în timpul interviurilor.
Uneori, după angajare, informaticienii falși comit erori, cum ar fi solicitarea de a primi laptop-ul de serviciu la o altă adresă decât cea specificată în CV. Aceasta poate reprezenta un semn că au implicat un intermediar local, care ține laptopul conectat la internet și rețeaua internă a companiei angajatoare.
Nord-coreenii folosesc apoi VPN-uri pentru a se conecta la laptop-urile furnizate de firmă și se asigură că lucrează – sau, cel puțin, par a lucra – la orele locale corespunzătoare. Intermediarii îi ajută să trimită salariile către Phenian.
Frauda a evoluat în ultimii ani, conform unor publicații din domeniu, inclusiv firme specializate în securitate cibernetică fiind victime.
Nord-coreenii sunt tot mai activi pe piețele europene
Un comunicat recent al unui consilier Google privind inteligența amenințărilor evidențiază „o intensificare a acțiunilor în Europa” pentru acești specialiști informaticieni.
„Activitatea informaticienilor DPRK în mai multe țări îi transformă într-o amenințare globală”, avertizează acesta. „Deși Statele Unite rămân o țintă primară, recent, acești specialiști au întâmpinat dificultăți în a găsi și menține locuri de muncă în această țară, probabil din cauza unei conștientizări sporite a amenințării prin relatări publice, acțiuni judiciare și verificări referitoare la dreptul la muncă.”
„Acești factori au condus la o expansiune globală a operațiunilor, cu un accent deosebit pe Europa”, a adăugat acesta.
Google și partenerii săi au identificat informaticieni nord-coreeni care „caută de muncă în Germania și Portugalia” și au descoperit „date de conectare a conturilor pe platforme europene de recrutare și gestionare a resurselor umane”.
Identități false și pașapoarte false descoperite în state europene
Investigatorii au mai găsit „identități fictive, inclusiv CV-uri cu diplome de la Universitatea din Belgrad, Serbia, și reședințe în Slovacia, precum și instrucțiuni pentru navigarea pe site-urile europene de recrutare”.
„Un document includea indicații specifice privind modul de obținere a locurilor de muncă în Serbia, inclusiv utilizarea fusului orar din Serbia în comunicări.”
Au fost descoperite și informații despre obținerea de pașapoarte false, likely pentru demonstrarea dreptului de muncă sau pentru deschiderea de conturi bancare.
Agenții nord-coreeni au căutat locuri de muncă pe platforme precum Upwork, Telegram și Freelancer. Unii au solicitat plata în criptomonede sau prin servicii precum TransferWise și Payoneer.
Statele Unite au reacționat deja la operațiunile grupului din Coreea de Nord
Google crede că a identificat dovezi ale intermediarilor sofisticați în Marea Britanie.
„Un incident a implicat un informatician din DPRK care a folosit facilitatori atât în Statele Unite, cât și în Regatul Unit. Remarkabil, un laptop corporativ, destinat teoretic utilizării în New York, a fost găsit funcțional în Londra, indicând o implicare logistică complexă.”
Specialiștii cred că informaticienii falși vizează acum companiile cu politici de tip „Bring Your Own Device” (BYOD), deoarece folosirea laptopurilor personale scade protecția împotriva măsurilor de control ale firmei.
Google crede că sunt necesare investigații suplimentare, observând că nord-coreenii vizează firme mai mari și recurg tot mai des la șantaj.
„În aceste incidente, informaticienii concediați au amenințat să divulge date sensibile din trecut sau să le ofere unui competitor. Aceste informații includ proprietăți intelectuale și cod sursă de proiecte interne”, a scris acesta, sugerând că această creștere a șantajului ar putea fi legată de intensificarea acțiunilor autorităților americane împotriva lucrătorilor falși, rezultând în disperare în privința menținerii veniturilor ilegale.
FBI a oferit indicii privind identificarea specialiștilor informaticieni falși, semnalele revelatoare incluzând evitare întâlnirilor în persoană, modificări ale metodelor de plată și profiluri online fără imagini.