Cyberbezpieczeństwo kluczowe w walce z hakerami sponsorowanymi przez państwo – przypadek północnokoreańskich hakerów

Historia przedstawiona na konferencji Cyberwarcon 2024 w Waszyngtonie to doskonały przykład, jak ważne jest cyberbezpieczeństwo w starciu z grupami hakerskimi wspieranymi przez państwo. Północnokoreańscy hakerzy, działając pod przykrywką fałszywych tożsamości, infiltrują firmy na całym świecie, zdobywając fundusze i tajemnice korporacyjne, które zasilają reżim i jego program zbrojeniowy.

Jak wynika z badań Microsoftu, północnokoreańskie grupy hakerskie, takie jak „Ruby Sleet” i „Sapphire Sleet,” stosują zaawansowane metody oszustw, aby zdobywać prace zdalne w międzynarodowych korporacjach. Hakerzy podszywają się pod rekruterów, fundusze venture capital lub doświadczonych specjalistów IT, wykorzystując fałszywe profile na LinkedIn i GitHub oraz techniki deepfake do tworzenia fałszywych zdjęć i głosów.

Główne metody działania:

– Fałszywe spotkania online: Podszywający się pod fundusze vc umawiają spotkanie online. Gdy przychodzi moment spotkania, okazuje się, że „coś nie działa”. Przestępcy wówczas nakłaniają ofiary do pobrania złośliwego oprogramowania pod pretekstem naprawy rzekomo uszkodzonego narzędzia do wideokonferencji.

– Testy rekrutacyjne: Fałszywi rekruterzy proszą kandydatów o wykonanie zadań testowych. Rzecz w tym, że w dostarczonych materiałach znajdują się zainfekowane pliki, które pozwalają na dostęp do systemów firmy, w tym portfeli kryptowalutowych. Istnieje też metoda odwrotna tj. gdy potencjalny „pracownik” zgłasza się, otrzymuje zadanie kontrolne w procesie rekrutacji, a w odesłanym przez niego pliku znajduje się złośliwy kod.

Jak wynika z danych przedstawionych na Cyberwarcon 2024, w ciągu zaledwie sześciu miesięcy północnokoreańscy hakerzy wykradli co najmniej 10 milionów dolarów w kryptowalutach, a ich działania obejmowały również infiltrację setek organizacji, w tym firm z branży lotniczej i zbrojeniowej. Zdobyte dane są wykorzystywane do rozwijania systemów nawigacyjnych i broni dla reżimu, omijając międzynarodowe sankcje. Hakerzy tworzą także złożoną sieć wspólników w Stanach Zjednoczonych i innych krajach, którzy zarządzają wysyłanymi przez firmy laptopami i konfigurują zdalny dostęp dla osób pracujących faktycznie z Korei Północnej.

Choć północnokoreańscy hakerzy stosują zaawansowane techniki, ich działania nie są pozbawione błędów. Badacze wskazali, że fałszywe tożsamości często zawierają widoczne luki, takie jak nieprawidłowe użycie języków lub niezgodności między lokalizacją IP a podanymi danymi osobowymi. Eksperci podkreślają, że choć państwa podejmują kroki legislacyjne i organizacyjne, to może być zbyt mało. Hakerzy często korzystają z prostych, pozornie, pomysłów, na uderzenie w najbardziej podatną część systemu – czyli człowieka.

Przypadek ten pokazuje, jak kluczowe jest inwestowanie w nowoczesne systemy weryfikacji tożsamości oraz szkolenie zespołów HR w zakresie wykrywania oszustw. Północnokoreańskie działania stanowią zagrożenie nie tylko dla firm, ale także dla bezpieczeństwa międzynarodowego. W epoce cyfrowej, gdy praca zdalna jest normą, cyberbezpieczeństwo musi być priorytetem każdej organizacji. Nie trzeba chyba dodawać, że podobne pomysły do Koreańczyków, mogą mieć hakerzy sponsorowani przez Kreml.