fallback

Крадени данни от профили в LinkedIn помагали на Северна Корея да се въоръжава

Севернокорейци мамят с биографии от LinkedIn и търсят работа в крипто пространството

20:29 | 2 август 2022
Автор: Галина Маринова

Севернокорейци фалшифицират своите онлайн автобиографии и се преструват на хора от други държави, за да получат дистанционна работа във фирми за търговия с криптовалути. Предполага се, че така те подпомагат набиране на средства за правителството си, твърдят изследователи в областта на киберсигурността, след като от САЩ отправиха предупреждение за схемата през май, пише Bloomberg.

Измамниците използват крадени данни от профили в LinkedIn и Indeed и си търсят работа в американски фирми за криптовалута, се казва в проучване на Mandiant Inc. Един от кандидатите, идентифициран от Mandiant на 14 юли, твърди, че е "професионалист с иновативно и стратегическо мислене" в технологичната индустрия и опитен разработчик на софтуер. "Светът ще види страхотния резултат от моите ръце", добавя кандидатът за работа в мотивационното си писмо.

Почти идентичен език е открит в профила на друг потребител.

Доказателствата, открити от Mandiant, подсилват твърденията, направени от правителството на САЩ през май. САЩ предупредиха, че севернокорейски ИТ работници се опитват да получат дистанционна работа на свободна практика в чужбина, като се представят за граждани на страни извън Северна Корея. Твърди се, че това се прави "отчасти, за да набавят пари за правителствени програми за разработване на оръжия".

ИТ работниците твърдят, че притежават уменията, необходими за сложна работа като разработване на мобилни приложения, изграждане на борси за виртуални валути и мобилни игри, се посочва в американската публикация.

Според САЩ севернокорейските ИТ работници се намират предимно в Китай и Русия, а по-малък брой са в Африка и Югоизточна Азия. Те се насочват към договори за работа на свободна практика в по-богати страни, включително в Северна Америка и Европа, и в много случаи се представят за южнокорейски, японски или дори американски дистанционни работници, се твърди в предупреждението на САЩ.

Според изследователите от Mandiant, като събират информация от криптокомпании, севернокорейците могат да събират сведения за предстоящите тенденции в областта на криптовалутите. Такива данни - за теми като виртуалната валута Ethereum, несменяеми токени и потенциални пропуски в сигурността - могат да дадат на севернокорейското правителство предимство в това как да изпере криптовалута по начин, който да помогне на Пхенян да избегне санкциите, казва Джо Добсън, главен анализатор в Mandiant. 

"Става въпрос за вътрешни заплахи", каза той. "Ако някой бъде нает в криптопроект и стане основен разработчик, това му позволява да влияе на нещата, независимо дали за добро или не." 

Севернокорейското правителство последователно отрича да е замесено в каквато и да е кражба с помощта на кибертехнологии.

Други заподозрени севернокорейци са изфабрикували професионални квалификации, като някои потребители са твърдели в заявленията за работа, че са публикували бяла книга за обмена на цифрова валута Bibox, а друг се е представял за старши софтуерен разработчик в консултантска фирма, фокусирана върху блокчейн технологията.

Изследователите на Mandiant заявиха, че са идентифицирали множество заподозрени севернокорейски лица в сайтове за работа, които успешно са били наети като служители на свободна практика. Те отказаха да назоват имената на работодателите.

"Това са севернокорейци, които се опитват да бъдат наети на работа и да стигнат до място, където могат да прехвърлят пари обратно към режима", каза Майкъл Барнхарт, главен анализатор в Mandiant. 

Освен това севернокорейски потребители, които твърдят, че имат умения за програмиране, са задавали въпроси в сайта за кодиране GitHub Inc, където разработчиците на софтуер публично обсъждат своите открития, относно по-големи тенденции в света на криптовалутите, заявяват изследователите от Mandiant.

Севернокорейските ИТ специалисти "се насочват към договори за работа на свободна практика от работодатели, намиращи се в по-богати държави". В много случаи севернокорейските работници се представят за южнокорейски, китайски, японски или източноевропейски и базирани в САЩ дистанционни работници.

През април Джонатан Ву, изпълнителен директор на Aztec Network, компания за блокчейн, описва преживяването от провеждането на интервю за работа с евентуален севернокорейски хакер като "малко разтърсващо". "Ужасяващо забавно напомняне да бъдем предпазливи и да проверяваме тройно практиките на OpSec", написа той в Twitter. 

Според Google, собственост на Alphabet Inc., друга, свързана с кражба на данни и фалшифициране на профили тактика, предприемана от севернокорейски хакери, е да копират Indeed.com и да го използват за събиране на информация от посетителите на уебсайта. 

Като създават уебсайтове, които изглеждат истински, шпионите могат да заблудят търсещите работа да изпратят автобиографията си. Така те започнат разговор, който може да даде възможност на хакерите да направят пробив в сигурността на компютъра им и да откраднат данни, посочва Райън Калембър, изпълнителен вицепрезидент на фирмата за сигурност на електронната поща Proofpoint Inc.

Според Google други фалшиви домейни, създадени от заподозрени севернокорейски оператори, са се представяли за ZipRecruiter, страница за кариера на Disney и сайт, наречен Variety Jobs.

"Всеки ден виждаме такива домейни", казва Калембер. "Способността им да измислят убедителни компании за прикритие става все по-добра."

През февруари фирмата за сигурност Qualys Inc. съобщи, че е открила фишинг кампания, в която т.нар. група Лазарус - име, което правителството на САЩ понякога използва, за да опише хакери, подкрепяни от Пхенян, - се е насочила към кандидати за работа, които са кандидатствали за позиции в Lockheed Martin Corp.

Хакерите са изпращали индивидуални съобщения, които са изглеждали като от Lockheed Martin, като са използвали прикачени файлове към имейли, които изглежда са съдържали информация от компанията, но всъщност са съдържали зловреден софтуер. Според Qualys тази измама е последвала подобни усилия, при които нападателите са се представили за BAE Systems Plc и Northrop Grumman Corp.

"Ако погледнете обявите за работа, те апелират към егото на хората и желанието за пари", каза Адам Мейърс, старши вицепрезидент по разузнаването в CrowdStrike Holdings Inc. "Те се възползват от това, но фалшивите обяви за работа са начален ход за по-широките им кибератаки и шпионаж."

Фокусът на Северна Корея върху кражбата на криптовалута идва, след като хакерите на страната прекараха години в кражба на пари от световната финансова система, казват изследователите от Mandiant. След прословутия обир на Бангладешката банка през 2016 г., при който САЩ обвиниха севернокорейските крадци в опит да откраднат близо 1 млрд. долара, световните банки добавиха предпазни мерки, предназначени да спрат подобни пробиви.

"Пазарът се трансформира - банките са по-сигурни, а криптовалутата - напълно нов пазар", каза Добсън. "Видяхме, че те преследват крайните потребители, криптоборсите, а сега и криптомостовете".

fallback
fallback