02/04/25
По данным Google Threat Intelligence Group, операторы из КНДР активизировали деятельность в Германии, Португалии, Сербии, Словакии и других странах, используя фальшивые резюме, поддельные паспорта и сгенерированные ИИ-фотографии для прохождения собеседований, пишет Securitylab.
Цель таких работников — получить работу в IT-сфере и направить зарплаты в бюджет Пхеньяна. Иногда они не ограничиваются только наймом: запускают вредоносное ПО на корпоративных устройствах, похищают конфиденциальную информацию и вымогают деньги. Также выявлены случаи, когда такие специалисты устраиваются одновременно в несколько компаний, получая сразу несколько зарплат, но при этом плохо справляясь с задачами
Часто для сокрытия происхождения используется тактика «сломанной веб-камеры», VPN и помощь местных посредников. Последние принимают корпоративные ноутбуки, оставляют их подключёнными к сети, а также помогают переводить заработанные средства через криптовалюту или сервисы вроде Payoneer и TransferWise. В одном из случаев корпоративное устройство, предназначенное для США, оказалось активным в Лондоне, что указывает на наличие сложной логистической цепочки.
Расследование показало наличие подробных инструкций по трудоустройству на европейских сайтах, включая советы по смене часового пояса и оформлению фиктивного гражданства. В документах упоминаются фейковые биографии с дипломами якобы из Белградского университета и адресами в Словакии. Также найдены данные для входа в аккаунты на сайтах по подбору персонала и платформах управления кадрами.
Специалисты Google подчёркивают, что мошенники всё чаще нацеливаются на компании, использующие политику BYOD (Bring Your Own Device). Такой подход позволяет работать с личных устройств, которые не контролируются корпоративными средствами безопасности, а также исключает необходимость пересылки ноутбуков — это снижает риски разоблачения через проверку по адресу.
Отмечено, что с ростом международного давления и расследований в США, северокорейские IT-сотрудники активнее перемещают деятельность в Европу, где уровень осведомлённости о подобных схемах ниже. Некоторые из специалистов стали чаще прибегать к шантажу — после увольнения угрожают раскрыть конфиденциальные данные или передать их конкурентам. В утечках фигурируют исходные коды и внутренние проекты.
