Пабло Саббателла — основатель Web3 Opsek и участник Security Alliance — заявил, что масштабы проблемы намного шире, чем считалось ранее. По его оценкам, поток заявок на работу в криптосекторе всё чаще включает соискателей из КНДР, и их доля может доходить до 30–40%.
Как КНДР обходит санкции с помощью подставных идентичностей
Из-за международных ограничений жители Северной Кореи не могут официально работать на зарубежные компании. Поэтому используется схема с «подставными сотрудниками», когда граждан других стран нанимают как прикрытие. Чаще всего рекрутеры выходят на фрилансеров с площадок Upwork, Freelancer и аналогичных сервисов, особенно в Украине, на Филиппинах и других регионах.
- Схема обычно предусматривает распределение заработка в пропорции 80/20 в пользу северокорейского куратора. «Подставные работники» передают свои учетные данные или позволяют удалённо использовать свою цифровую личность.
Отдельной мишенью становятся компании из США. В этих случаях агенты КНДР нередко представляются кандидатами из Китая, которые якобы не владеют английским и нуждаются в помощи при прохождении интервью.
Во время такого «собеседования» компьютер прикрывающего лица заражается вредоносным ПО, после чего злоумышленники получают доступ к американским IР-адресам и разрешённым каналам связи.
Некоторые фирмы продолжают сотрудничество с такими «специалистами» месяцами. По словам Саббателлы, эти работники проявляют высокую дисциплину и трудятся без жалоб, что снижает вероятность проверки, пока их доступ к внутренним системам лишь расширяется.
Недостаток защиты приводит к крупным утечкам
Министерство финансов США сообщило, что за последние три года северокорейские хакерские группы похитили криптовалюты более чем на 3 млрд долларов. Эти средства, согласно американским данным, направляются на финансирование ракетно-ядерных программ Пхеньяна.
- Саббателла считает, что корень проблемы — в слабой операционной безопасности криптокомпаний. По его словам, основатели проектов часто раскрывают лишнюю информацию о себе, недостаточно защищают приватные ключи и становятся жертвами социальной инженерии.
Кроме того, исследователи выявили, что хакерские группировки КНДР создают фальшивые сайты по поиску работы, нацеленные на специалистов, которые могут быть интересны крупным компаниям в сфере ИИ и крипторазработки. Хотя такая тактика используется давно, недавно был обнаружен новый подход.
- Согласно данным Validin, северокорейские операторы теперь стремятся получить долговременный доступ к устройствам кандидатов ещё до того, как те трудоустроятся. Этот метод получил название «Инфицированное собеседование»: жертву заманивают на поддельную платформу трудоустройства, заражают её устройство и извлекают технологии, представляющие интерес для режима Ким Чен Ына.
Северокорейские киберпреступники используют новый подход: они начинают атаковать не компании, а напрямую людей, подающих заявки на работу.
- Генеральный директор Validin Кеннет Кинион в беседе с CNN указал, что переход к работе с соискателями даёт злоумышленникам значительное преимущество. Вместо попыток преодолеть корпоративные системы безопасности они выстраивают фиктивный процесс найма, создавая у кандидатов впечатление, что всё происходит официально. В результате люди уверены, что выполняют обычное тестовое задание или проходят стандартные этапы собеседования.
По словам Киниона, доверие соискателя делает его более уязвимым: он с высокой вероятностью запускает любые файлы, которые получает в рамках «процесса найма». Нападения строятся вокруг простых шагов — отклик на фейковую вакансию, запись видеоответов, установка «инструмента для починки камеры». Эти действия выглядят безобидно, однако именно через них злоумышленники доставляют вредоносное ПО на устройство жертвы.
- Фальшивая платформа, размещённая на lenvnydotcom, копирует фирменный стиль Lever — крупного сервиса для поиска работы.
Validin сообщает, что эта поддельная система трудоустройства представляет собой тщательно подготовленную операцию социальной инженерии, ориентированную на специалистов разных направлений — от разработчиков и исследователей ИИ до криптоспециалистов и сотрудников нетехнических профессий. Внешне она маскируется под известные бренды из технологической сферы.
- Среди публикуемых фиктивных вакансий обнаружена и позиция «продакт-менеджера» проекта, связанного с Claude — искусственным интеллектом от Anthropic. Validin подчёркивает, что установить точное число пострадавших крайне сложно: многие кандидаты не сообщают о подозрительных эпизодах, опасаясь раскрыть сведения о своих поисках работы или вводя в заблуждение текущих работодателей.
Рост активности северокорейских мошенников фиксируется уже несколько лет. Используя поддельные документы и проходя интервью, они устраивались в американские IT-компании, а затем переводили заработанные преступным путём средства на поддержку военной программы КНДР.
- На прошлой неделе Министерство юстиции США сообщило о признании вины пяти человек, помогавших северокорейским хакерам устроиться на удалённые IT-позиции в американских организациях. Эта схема затронула более 136 компаний и принесла преступникам свыше 2,2 млн долларов, отправленных в распоряжение режима Ким Чен Ына.
Кроме того, были похищены персональные данные более 18 граждан США, а деятельность группировки охватила несколько различных отраслей.