Серьезное нарушение безопасности произошло, когда американская компания по незнанию наняла северокорейского ИТ-специалиста, который после увольнения украл конфиденциальные данные и потребовал выкуп. ФБР предупредило, что тысячи северокорейских хакеров маскируются под законных удаленных работников в США, чтобы перекачивать деньги обратно своему правительству.
Хотя предыдущие инциденты были связаны с кражей данных и шпионажем, эта попытка вымогательства предполагает новую, более наглую тактику.
Северокорейский хакер проник в американскую компанию
Подразделение по борьбе с угрозами Secureworks (CTU) обнаружило северокорейскую кибератаку, нацеленную на неназванную компанию из США, Великобритании или Австралии. Компания столкнулась с требованием о вымогательстве, что побудило Secureworks поделиться подробностями инцидента с Business Insider.
BBC News сообщила, что компания наняла северокорейского технического специалиста в качестве подрядчика, не подозревая, что он солгал о своем трудовом стаже и личных данных.
Secureworks сообщила, что северокорейский техник, работая удаленно, за время своего короткого пребывания в должности использовал инструменты компании, чтобы проникнуть в сеть и загрузить значительный объем конфиденциальных данных.
SecureWorks сообщила, что северокорейский технический специалист в конечном итоге был уволен из-за плохой работы. Вскоре после этого компания начала получать электронные письма, содержащие украденные данные как свидетельство кибератаки.
Компанию шантажировали требованием шестизначного выкупа в криптовалюте, если они хотели предотвратить утечку украденных данных в Интернет или продажу в даркнете. SecureWorks заявила, что из-за международных санкций в отношении Северной Кореи многие компании не смогут выплатить выкуп, требуемый хакерами. Однако в нем отказались комментировать особенности этого конкретного случая.
Компания сообщила, что зарплаты, получаемые северокорейскими хакерами, выдающими себя за законных удаленных работников, направлены на то, чтобы обойти международные санкции и принести доход правительству Северной Кореи.
Растущая угроза кибератак Северной Кореи
В 2023 году представители ФБР предупредили, что эти средства направляются на поддержку программ страны по производству оружия. По словам Рэйфа Пиллинга, директора по анализу угроз в CTU SecureWorks, этот инцидент представляет собой незначительное отклонение от обычной тактики, используемой северокорейскими хакерами.
«Они больше не работают только после стабильной зарплаты», — сказал он BI в письменном заявлении. «Они ищут более крупные суммы и быстрее, путем кражи данных и вымогательства изнутри защиты компании». Он посоветовал компаниям проявлять осторожность и опасаться лиц, которые могут попытаться проникнуть в их организации под ложным предлогом.
CTU Secureworks рекомендовал компаниям внедрить строгие процедуры проверки личности, проводить личные или видеоинтервью и проявлять бдительность в отношении подозрительных запросов, таких как попытки перенаправить корпоративное ИТ-оборудование на предполагаемый домашний адрес.
В недавнем сообщении на LinkedIn Чарльз Кармакал, технический директор компании по кибербезопасности Mandiant Consulting, предупредил, что северокорейские ИТ-специалисты все чаще проникают в экономику США, а жертвами их атак становятся десятки компаний из списка Fortune 100.
Мандиантное расследование, проведенное Кармакалом, показало, что Северная Корея наняла команду американских посредников для получения корпоративных ноутбуков от американских работодателей и управления фермами по производству ноутбуков прямо у себя дома.
Он также сообщил, что посредники, поддерживаемые Северной Кореей, установят программное обеспечение для удаленного мониторинга и управления на ноутбуки компании, что позволит северокорейским хакерам удаленно подключаться к системам.
Необходимость усиления мер кибербезопасности
В мае 49-летняя жительница Аризоны Кристина Мари Чепмен была арестована за то, что якобы помогала северокорейцам найти удаленные рабочие места в США в компаниях из списка Fortune 500 и отмывать доходы обратно своему правительству. Ей предъявлено девять обвинений, включая заговор с целью обмана Соединенных Штатов.
В апрельском обвинительном заключении прокуратура показала, что северокорейские рабочие использовали IP-адреса, чтобы скрыть свое местонахождение и создать впечатление, будто они работают из дома посредника в США. Украинцу также было предъявлено обвинение в управлении «фермами по производству ноутбуков», которыми пользовались северокорейские рабочие.
Джейк Мур, глобальный консультант по кибербезопасности компании ESET, производящей программное обеспечение для кибербезопасности, утверждает: «Инсайдерские угрозы по-прежнему являются серьезной проблемой для бизнеса, но особенно для организаций, которые подвергаются угрозам национального уровня».
Мур подчеркнул, что тщательная проверка и проверка анкетных данных часто являются единственным способом предотвратить несанкционированный доступ к конфиденциальным данным компании. Хотя эти процессы могут занять много времени, они важны.
«Отдача ключей от замка изнутри всегда была сопряжена с высоким риском, но с учетом преобладающих международных угроз необходимо принять новые меры по улучшению проверки сотрудников», – сказал он.