Кибербезопасность остается одной из самых острых проблем современного цифрового мира, и новые данные от исследователей Flashpoint лишь подтверждают, насколько изощренными стали методы злоумышленников. Как выяснилось, северокорейские хакерские группировки активно используют уязвимости удаленной работы, маскируясь под легальных IT-специалистов и фрилансеров, чтобы внедриться в корпоративные системы и похищать миллионы долларов. Полученные средства, по данным разведки, направляются на финансирование военных программ КНДР.
Аналитики Flashpoint провели глубокое исследование, основываясь на данных, извлеченных из систем, связанных с КНДР, и обнаружили, что хакеры применяют сложные схемы обмана, включая создание фальшивых личностей с детально проработанными биографиями. Каждый оперативник может управлять десятками профилей на одном устройстве, тщательно изменяя детали, чтобы избежать подозрений. Для поддержания правдоподобности используются так называемые «персона-киты» - наборы скриптов и подсказок, помогающих сохранять единую легенду при общении с работодателями.
Особую опасность представляет использование искусственного интеллекта. Хакеры активно задействуют ChatGPT для генерации убедительных ответов на технические вопросы во время собеседований, а также для обработки изображений, делая фальшивые профили еще более достоверными. Исследователи обнаружили, что северокорейские оперативники часто используют Google Translate с уникальными настройками, чтобы избежать языковых ошибок и выдавать себя за носителей языка.
Техническая инфраструктура злоумышленников также впечатляет: для маскировки своего местоположения применяются VPN-сервисы, включая Astrill VPN, и специализированные прокси-системы. Внутри группы координируются через защищенные мессенджеры, такие как IP Messenger, а для удаленного управления системами жертв используются AnyDesk и VMware Workstation. В случаях, когда требуется физический доступ к оборудованию, хакеры применяют устройства типа PiKVM, позволяющие контролировать компьютеры удаленно.
Финансовые операции проходят через криптовалютные платформы и международные платежные системы, а для обеспечения работы инфраструктуры задействованы так называемые «фермы ноутбуков» - кластеры устройств, размещенных в разных странах, включая Польшу, Нигерию, Китай, Россию и Вьетнам. Американские посредники помогают с организацией поставок техники и настройкой банковских счетов, что еще больше усложняет отслеживание преступной деятельности.
Специалисты Flashpoint подчеркивают, что традиционные методы проверки сотрудников уже неэффективны против таких изощренных атак. Необходимо внедрять многоуровневые системы защиты, включая строгий контроль видеособеседований, мониторинг подозрительной активности в сети и анализ геолокации подключений. Также важно отслеживать использование несанкционированных инструментов удаленного доступа и виртуальных камер, которые могут свидетельствовать о взломе.
Обнаруженные методы демонстрируют, насколько серьезной стала угроза со стороны государственных хакерских группировок, использующих цифровые технологии для финансирования своих программ. В условиях роста удаленной работы компании должны быть особенно бдительны, чтобы не стать следующей жертвой хорошо организованных киберпреступников.
