朝鲜IT工人渗透行动持续升级,司法部采取行动

本文详细分析了朝鲜IT工人如何通过伪造身份、利用远程办公漏洞渗透美国企业,涉及深度伪造技术、身份验证缺陷及国家安全威胁,并探讨了企业应采取的防护措施。

朝鲜IT工人疯狂渗透持续,司法部行动难以遏制

尽管逮捕和起诉不断,但朝鲜伪造IT工人的计划仍在滚雪球般扩大。企业不能再假设其申请人筛选流程足以剔除这些冒名顶替者。

亚利桑那州一名"笔记本电脑农场"运营者因协助朝鲜IT工人渗透美国公司,为金正恩政权筹集了1700万美元非法资金,被判8年半监禁。然而,这只是司法行动中的一小部分,朝鲜从美国公司窃取工资的努力短期内不太可能减弱。因此,美国组织需要认清这一威胁的严重性。

朝鲜多年的HR渗透行动有双重目标:通过工资为这个隐士王国的核计划和其他努力赚钱,以及在企业网络内部获得立足点,以便植入加密矿工或窃取机密的恶意软件。

通常,申请人使用精心制作、精心策划的角色,包括完整的社交媒体资料、AI增强照片和深度伪造,以及被盗身份,以通过任何背景调查。一旦被雇用,这些新员工需要在美国境内的同伙接收公司发放的笔记本电脑和其他设备,然后他们可以远程链接到这些设备。这就是Christina Marie Chapman的作用所在。

Chapman此前承认帮助朝鲜在309家美国公司安置工人;法院本周判处她102个月监禁,并命令她支付约45万美元的判决金。她是一个涉及多名同伙的更广泛案件的关键人物,该案件将执法重点转向揭示使IT工人计划成为可能的助长者和教唆者网络。

根据美国司法部的警报,“Chapman运营了一个’笔记本电脑农场’,她在家里接收并托管来自美国公司的电脑,欺骗公司相信工作是在美国进行的。Chapman还将美国公司提供的49台笔记本电脑和其他设备运往海外地点,包括多次运往中国与朝鲜边境的一个城市。在2023年10月执行搜查令后,从Chapman家中查获了90多台笔记本电脑。”

需要注意的是,笔记本电脑农场只是蓬勃发展的IT工人生态系统的一个方面,正如DTEX Systems在最近的一份报告中所阐述的。

DTEX咨询委员会成员、美国国家情报前副主管Sue Gordon在一份声明中表示:“朝鲜的网络行动挑战了传统的国家剧本——将加密货币盗窃、间谍活动和核野心融合在一个由利润、忠诚和生存驱动的自资系统中。将其视为家族经营的黑手党集团,模糊了网络犯罪和国家craft之间的界限。这份报告揭示了他们的内部运作和心理,显示他们已经多么深入地嵌入我们的劳动力中——提供了预测他们下一步行动所需的背景。”

受害公司范围广泛,包括一家主要电视网络、银行、一家硅谷科技公司、多家财富500强公司、一家航空航天制造商、一家汽车制造商、一家奢侈品零售店和一家美国媒体和娱乐公司,根据司法部的说法。

Check Point的安全架构师Aaron Rose通过电子邮件表示:“远程劳动力可能被利用为国家网络安全的软肋。没有有效的身份验证和威胁预防,即使是最安全的组织也可能被渗透。”

他补充道:“这不仅仅是关于欺诈——这是隐藏在众目睽睽之下的数字间谍活动。当被盗身份使对手能够访问我们的网络时,我们不再谈论数据泄露——我们谈论的是国家安全漏洞。这又是犯罪活动与国家赞助行动之间界限变得模糊的另一个例子。今天的网络安全既关乎保护数据,也关乎保护民主。”

2024年联合国报告估计,朝鲜IT工人每年共同产生2.5亿至6亿美元的收入。个别工人平均每年可赚取30万美元,但工人只能保留不到20%的工资——这意味着政权正在赚取可观的收入。

这支网络部队也在扩大:韩国国家情报院去年报告称,朝鲜网络部门的工作人员数量呈两位数增长,从2022年的6800人激增至2024年的8400人。根据联合国的数据,伪造的IT工人 specifically 多达4000人。

所有这些资源都转化为需要立即采取行动的大量攻击。例如,安全供应商SentinelOne在4月份报告称,它"追踪了大约360个伪造角色和1000多份与朝鲜IT工人行动相关的求职申请,申请SentinelOne的职位——甚至包括大胆尝试获取SentinelLabs情报工程团队本身的职位。"

朝鲜计划同伙等待判决

Chapman和一名乌克兰同谋Oleksandr Didenko于2024年5月被指控加重身份盗窃、共谋欺诈美国以及共谋洗钱、电信欺诈、身份欺诈和银行欺诈。

Didenko正在等待判决,但他面临最高67.5年监禁的刑罚。他被判运营一个网站upworksell.com,提供全方位服务的虚假身份创建。服务包括美国账户创建、手机SIM卡租赁、资金转账等。

根据去年的起诉公告,“Didenko据称提供全套服务,允许个人以虚假身份伪装,并向不知情的公司推销自己从事远程IT工作。Didenko据称管理了大约871个’代理’身份,为三个自由职业美国IT招聘平台提供代理账户,并为三个不同的美国货币服务传输器提供代理账户……[并]促进了至少三个美国笔记本电脑农场的运营,一度托管了大约79台电脑。”

其他同谋仍然在逃,包括司法部以别名列出的三名外国国民:Jiho Han、Haoran Xu和Chunji Jin。

前美国国家安全局(NSA)黑客、IANS Research教员兼Hunter Strategy研发副总裁Jake Williams表示:“我们看到朝鲜威胁行为者继续使用身份盗窃作为规避制裁的工具,这并不奇怪。这强调了组织需要对 new hires 进行 robust 身份验证,包括详细的背景调查。安全团队需要意识到,如果看到奇怪的事情,就需要进行调查,对于新员工和IT工人来说更是如此。”

美国公司如何避免雇用朝鲜人

Chapman的消息是司法部关于美国境内朝鲜协助者的一系列逮捕和公告中的最新一起。然而,无论执法审查如何,这些努力可能会继续,因此美国企业需要保持高度警惕。

美国宇航局前首席云架构师、Polyguard首席执行官Joshua McKenty警告说:“随着朝鲜的方法变得越来越复杂,对’笔记本电脑农场’的需求可能会消失。这只是一个开始。雇主还没有准备好——朝鲜人使用的AI修改身份文件将通过他们随意的背景调查。”

他指出,通过采用先进的身份验证工具,可以在一定程度上减轻业务风险,这些工具可以使用GPS和GSM数据提供位置证明,以及其他存在保证,防止使用远程桌面登录。

McKenty解释说:“虽然’跟踪资金’仍然是追踪这些犯罪的标准方法,但更广泛的身份验证倡议,同时解决所谓的’共同就业’和其他形式的员工身份欺诈,包括’代理候选人’,可能会受益。标准的背景调查没有发现这些犯罪, thanks to 下一代’混合’文件欺诈,它利用了深度伪造技术。”

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次