Северокорейские хакеры украли 88 миллионов долларов, выдавая себя за американских технических работников

Flashpoint раскрывает, как северокорейские хакеры использовали поддельные удостоверения личности для получения удаленных рабочих мест в сфере ИТ в США, выкачав $88 млн. Узнайте, как они использовали поддельные удостоверения личности и технологии для совершения мошенничества.

Северокорейские хакеры использовали украденные идентификационные данные, чтобы получить удаленную работу в сфере ИТ в американских компаниях и некоммерческих организациях, заработав не менее 88 миллионов долларов за шесть лет. 12 декабря 2024 года Министерство юстиции США предъявило обвинение четырнадцати гражданам Северной Кореи за их участие. Фирма по безопасности Flashpoint провела уникальное расследование, проанализировав данные с зараженных компьютеров самих хакеров, чтобы раскрыть их тактику и эксклюзивные подробности этой схемы.

Расследование Flashpoint выявило использование поддельных компаний, указанных в обвинительном заключении, включая «Baby Box Info», «Helix US» и «Cubix Tech US», для создания правдоподобных резюме и предоставления мошеннических рекомендаций. Исследователи отслеживали зараженные компьютеры, в частности один в Лахоре, Пакистан, на котором хранились учетные данные для адресов электронной почты, связанных с этими поддельными организациями. Имя пользователя «jsilver617», потенциально связанное с поддельным американским идентификатором «JS», было обнаружено на одной из этих машин, которая использовалась для подачи заявок на многочисленные технические вакансии в 2023 году.

Критически важным доказательством стало широкое использование Google Translate между английским и корейским языками, обнаруженное в истории браузера зараженного компьютера, что намекало на происхождение хакеров. Переведенные сообщения раскрыли их методы создания поддельных ссылок на вакансии, включая даже сфабрикованную контактную информацию для лиц в поддельных компаниях. Одно переведенное сообщение, выдававшее себя за менеджера по персоналу из «Cubix», предоставило ложные данные о проверке занятости.

Дальнейшие сообщения намекали на иерархическую структуру в рамках операции и обсуждали «ремесло», например, стратегии, позволяющие избегать использования веб-камер во время онлайн-встреч. Разочарование из-за плохой работы удаленного работника также было очевидно в переведенном сообщении, в котором говорилось: «Это доказательство того, что вы неудачник».

Расследование также выявило обсуждения о доставке электронных устройств, вероятно, ноутбуков и телефонов для их удаленной работы. Это совпадает с недавним отчетом Hackread.com о фермах ноутбуков , где американские сотрудники получали устройства для удаленного доступа от северокорейских рабочих, а известная северокорейская группа Nickel Tapestry была названа ключевым преступником.

В этом случае одно переведенное сообщение спрашивало о доставке ноутбуков в Нигерию. История браузера показала номера отслеживания для международных курьерских служб, включая отправку, возможно, из Дубая.

Перевод предоставлен Flashpoint:

 We need to make the Abdul's voices heard for a week. After that we can turn off the camera. They are very sensitive to voices. They might not ask Abdul to turn on the video if they don't think there is a difference in thg voices.&op=translate

---

and you know that was same some that we have already summitted your profile, at that time they told that your rate is high and gave offer to another person , but that offer is backout and now they have backfill of it. please let me know if we can submit your profile at $65/hr on C2C/1099. this time prime vendor is different, but client is same.&op=translate

---

I didn't complain when you didn't get the assignment for two months. But this is a different matter. It's proof that you're a failure and if you're like this, you won't be able to handle this job well.&op=translate

Расследование также выявило использование программного обеспечения удаленного рабочего стола AnyDesk на зараженных машинах, что позволяет предположить, что северокорейские оперативники получили удаленный доступ к системам американской компании. Эта деталь подчеркивает прямой доступ, который они получили к чувствительным сетям компании.

«С момента обнаружения этой информации компании из списка Fortune 500, а также отрасли технологий и криптовалюты сообщают о еще большем количестве тайных агентов КНДР, занимающихся выводом средств, интеллектуальной собственности и информации», — говорится в расследовании Flashpoint, опубликованном на Hackread.com.

Взгляд Flashpoint на эту операцию изнутри, полученный путем анализа скомпрометированных учетных данных и журналов похитителей информации, дает детальное представление о сложном и прибыльном кибермошенничестве Северной Кореи, нацеленном на организации США.