25/11/24
Американское правительство пресекло деятельность четырёх компаний, связанных с северокорейскими IT-работниками, которые маскировались под законопослушные консалтинговые фирмы. Эти компании использовали копии сайтов известных компаний, чтобы скрывать свою принадлежность к КНДР и привлекать клиентов. Выявленные фирмы действовали с целью обхода международных санкций и поддержки государственной программы оружейного производства, пишет Securitylab.
Согласно исследованию SentinelLabs, эти компании не только имитировали дизайн сайтов американских и индийских технологических компаний, но и активно использовали фальшивые учётные записи для взаимодействия с клиентами. Среди выявленных компаний — Independent Lab LLC, Shenyang Tonywang Technology LTD, Tony WKJ LLC и HopanaTech. Все они создавали иллюзию легитимности, используя профессиональные описания и фальшивые отзывы.
Фирмы работали через хостинг-сервисы, регистрировали домены на популярных платформах и часто использовали криптовалюты и теневые банковские системы для перевода денег. Это позволяло скрывать происхождение средств и направлять их на финансирование государственных программ КНДР.
Кроме того, SentinelLabs установила связь между этими фирмами и прочими компаниями, зарегистрированными уже в Китае. Например, Shenyang Huguo Technology Ltd, которая также копировала контент легитимных фирм и продолжала работу вплоть до вмешательства правоохранительных органов.
Связь с Китаем подчёркивает масштаб и сложность схемы. Подобный подход позволяет КНДР манипулировать глобальными рынками и обеспечивать своё финансирование, несмотря на санкции. Такие схемы представляют серьёзные риски для компаний, включая утечку данных, установку вредоносного ПО и репутационные потери.
Исследование выявило ключевые узлы сети, включая связи с физическими лицами и другими компаниями, такими как Beijing Xiwang Technology Company. Установлено, что регистрационные данные пересекались с другими фирмами, управляемыми одним и тем же человеком, что усиливает подозрения в их принадлежности к схеме КНДР.
Правительственные органы США, включая Министерство юстиции и ФБР, ликвидировали домены этих компаний. На захваченных сайтах теперь размещены предупреждения о блокировке и ссылки на документы, объясняющие преступную схему.
