Północnokoreańscy hakerzy ukradli 88 milionów dolarów, podszywając się pod amerykańskich pracowników branży technologicznej

Flashpoint ujawnia, jak północnokoreańscy hakerzy używali fałszywych tożsamości, aby zabezpieczyć zdalne stanowiska IT w USA, wyprowadzając 88 milionów dolarów. Dowiedz się, jak używali fałszywych tożsamości i technologii, aby popełnić oszustwo.

Hakerzy z Korei Północnej wykorzystali skradzione tożsamości, aby uzyskać zdalne prace IT w amerykańskich firmach i organizacjach non-profit, zarabiając co najmniej 88 milionów dolarów w ciągu sześciu lat. Departament Sprawiedliwości USA oskarżył czternastu obywateli Korei Północnej 12 grudnia 2024 r. o ich udział. Firma ochroniarska Flashpoint przeprowadziła unikalne dochodzenie, analizując dane z zainfekowanych komputerów hakerów, aby odkryć ich taktykę i ekskluzywne szczegóły dotyczące tego schematu.

Śledztwo Flashpoint ujawniło wykorzystanie fałszywych firm wymienionych w akcie oskarżenia, w tym „Baby Box Info”, „Helix US” i „Cubix Tech US”, do tworzenia wiarygodnych CV i dostarczania fałszywych referencji. Badacze śledzili zainfekowane komputery, w szczególności jeden w Lahore w Pakistanie, który zawierał dane logowania do adresów e-mail powiązanych z tymi fałszywymi podmiotami. Nazwa użytkownika „jsilver617”, potencjalnie powiązana z fałszywą tożsamością USA „JS”, została znaleziona na jednej z tych maszyn, która była używana do aplikowania o liczne stanowiska techniczne w 2023 r.

Krytycznym dowodem było szerokie wykorzystanie Tłumacza Google między językiem angielskim i koreańskim, znalezione w historii przeglądarki zainfekowanego komputera, co sugerowało pochodzenie hakerów. Przetłumaczone wiadomości ujawniły ich metody tworzenia fałszywych referencji zawodowych, w tym nawet sfabrykowane dane kontaktowe osób w fikcyjnym przedsiębiorstwie. Jedna przetłumaczona wiadomość, podszywająca się pod kierownika ds. kadr z „Cubix”, zawierała fałszywe dane weryfikujące zatrudnienie.

W dalszej komunikacji sugerowano hierarchiczną strukturę w ramach operacji i omawiano „sztukę”, taką jak strategie unikania korzystania z kamer internetowych podczas spotkań online. Frustracja spowodowana słabą wydajnością pracownika zdalnego była również widoczna w przetłumaczonej wiadomości stwierdzającej: „To dowód, że jesteś nieudacznikiem”.

Śledztwo ujawniło również dyskusje na temat wysyłki urządzeń elektronicznych, prawdopodobnie laptopów i telefonów do konfiguracji pracy zdalnej. Jest to zgodne z niedawnym raportem Hackread.com na temat Farm Laptopów , gdzie współpracownicy z USA otrzymywali urządzenia do zdalnego dostępu od pracowników z Korei Północnej, a głównym sprawcą była znana północnokoreańska grupa Nickel Tapestry.

W tym przypadku jedna przetłumaczona wiadomość dotyczyła dostawy laptopów do Nigerii. Historia przeglądarki ujawniła numery śledzenia międzynarodowych usług kurierskich, w tym przesyłki prawdopodobnie pochodzącej z Dubaju.

Tłumaczenie dostarczone przez Flashpoint:

 We need to make the Abdul's voices heard for a week. After that we can turn off the camera. They are very sensitive to voices. They might not ask Abdul to turn on the video if they don't think there is a difference in thg voices.&op=translate

---

and you know that was same some that we have already summitted your profile, at that time they told that your rate is high and gave offer to another person , but that offer is backout and now they have backfill of it. please let me know if we can submit your profile at $65/hr on C2C/1099. this time prime vendor is different, but client is same.&op=translate

---

I didn't complain when you didn't get the assignment for two months. But this is a different matter. It's proof that you're a failure and if you're like this, you won't be able to handle this job well.&op=translate

Śledztwo ujawniło również użycie oprogramowania AnyDesk do zdalnego pulpitu na zainfekowanych maszynach, co sugeruje, że północnokoreańscy agenci uzyskali zdalny dostęp do systemów amerykańskiej firmy. Ten szczegół podkreśla bezpośredni dostęp, jaki uzyskali do wrażliwych sieci firmowych.

„Od czasu odkrycia tej informacji firmy z listy Fortune 500, branże technologiczne i kryptowalutowe zgłaszały coraz większą liczbę tajnych agentów KRLD wykradających fundusze, własność intelektualną i informacje” — ujawniło dochodzenie Flashpoint, o którym poinformowano w serwisie Hackread.com.

Wewnętrzny wgląd Flashpoint w tę operację, uzyskany dzięki analizie naruszonych danych uwierzytelniających i dzienników osób kradnących informacje, pozwala na szczegółowe zrozumienie wyrafinowanych i dochodowych oszustw internetowych Korei Północnej, których celem są organizacje amerykańskie.