Hacker nordcoreani rubano 88 milioni di dollari spacciandosi per lavoratori tecnologici statunitensi

Flashpoint svela come gli hacker nordcoreani abbiano utilizzato false identità per assicurarsi posti di lavoro in ambito IT negli Stati Uniti, sottraendo 88 milioni di dollari. Scopri come hanno utilizzato false identità e tecnologie per commettere la frode.

Gli hacker nordcoreani hanno utilizzato identità rubate per ottenere lavori IT da remoto presso aziende e organizzazioni no-profit statunitensi, incassando almeno 88 milioni di dollari in sei anni. Il 12 dicembre 2024, il Dipartimento di Giustizia degli Stati Uniti ha incriminato quattordici cittadini nordcoreani per il loro coinvolgimento. L'azienda di sicurezza Flashpoint ha condotto un'indagine unica nel suo genere, analizzando i dati provenienti dai computer infettati degli hacker per scoprire le loro tattiche e dettagli esclusivi su questo schema.

L'indagine di Flashpoint ha rivelato l'uso di aziende fittizie menzionate nell'atto d'accusa, tra cui "Baby Box Info", "Helix US" e "Cubix Tech US", per creare curriculum vitae credibili e fornire referenze false. I ricercatori hanno monitorato i computer infetti, in particolare uno a Lahore, in Pakistan, che conteneva le credenziali di accesso per gli indirizzi email associati a queste false entità. Il nome utente "jsilver617", potenzialmente collegato alla falsa identità statunitense "JS", è stato trovato su uno di questi computer, che è stato utilizzato per candidarsi a numerose posizioni lavorative nel settore tecnologico nel 2023.

Una prova cruciale è stato l'uso estensivo di Google Translate tra inglese e coreano, rilevato nella cronologia del browser di un computer infetto, che ha suggerito l'origine degli hacker. I messaggi tradotti hanno rivelato i loro metodi per creare false referenze lavorative, includendo persino informazioni di contatto inventate per persone appartenenti alle aziende fittizie. Un messaggio tradotto, che si spacciava per un responsabile delle risorse umane di "Cubix", forniva falsi dettagli di verifica del rapporto di lavoro.

Ulteriori comunicazioni accennavano a una struttura gerarchica all'interno dell'operazione e discutevano di "mestieri", come strategie per evitare l'uso delle webcam durante le riunioni online. La frustrazione per le scarse prestazioni di un lavoratore da remoto era evidente anche in un messaggio tradotto che affermava: "È la prova che sei un fallimento".

L'indagine ha anche portato alla luce discussioni sulla spedizione di dispositivi elettronici, probabilmente laptop e telefoni, per le loro postazioni di lavoro da remoto. Questo è in linea con la recente segnalazione di Hackread.com sulle "Laptop Farm" , dove collaboratori con sede negli Stati Uniti hanno ricevuto dispositivi per l'accesso remoto da parte di lavoratori nordcoreani, con l'importante gruppo nordcoreano Nickel Tapestry identificato come il principale responsabile.

In questo caso, un messaggio tradotto chiedeva informazioni sulla consegna di laptop in Nigeria. La cronologia del browser ha rivelato numeri di tracciamento di corrieri internazionali, tra cui una spedizione probabilmente proveniente da Dubai.

Traduzione fornita da Flashpoint:

 We need to make the Abdul's voices heard for a week. After that we can turn off the camera. They are very sensitive to voices. They might not ask Abdul to turn on the video if they don't think there is a difference in thg voices.&op=translate

---

and you know that was same some that we have already summitted your profile, at that time they told that your rate is high and gave offer to another person , but that offer is backout and now they have backfill of it. please let me know if we can submit your profile at $65/hr on C2C/1099. this time prime vendor is different, but client is same.&op=translate

---

I didn't complain when you didn't get the assignment for two months. But this is a different matter. It's proof that you're a failure and if you're like this, you won't be able to handle this job well.&op=translate

L'indagine ha inoltre rivelato l'utilizzo del software di desktop remoto AnyDesk sui computer infetti, suggerendo che gli agenti nordcoreani abbiano avuto accesso remoto ai sistemi aziendali statunitensi. Questo dettaglio evidenzia l'accesso diretto ottenuto alle reti aziendali sensibili.

"Fin dalla sua scoperta, le aziende Fortune 500, i settori della tecnologia e delle criptovalute hanno segnalato un numero sempre maggiore di agenti segreti della RPDC che sottraggono fondi, proprietà intellettuali e informazioni", ha rivelato l'indagine di Flashpoint, condivisa con Hackread.com.

L'analisi approfondita di questa operazione condotta da Flashpoint, tramite l'analisi delle credenziali compromesse e dei registri degli infostealer, fornisce una panoramica dettagliata della sofisticata e redditizia frode informatica condotta dalla Corea del Nord contro le organizzazioni statunitensi.