Северокорейские госхакеры нанимаются на работу и воруют конфиденциальную информацию, чтобы шантажировать работодателей

Федеральное бюро расследований США выпустило предупреждение о том, что северокорейские кибершпионы, обманом добившиеся удаленного трудоустройства в американских компаниях, пользуются доступом к исходному коду коммерческих разработок для кражи и последующего вымогательства. Если их требования не выполняются, они грозят опубликовать материалы, составляющие коммерческую тайну.

«Северокорейские ИТ-работники копируют репозитории кода своих нанимателей, такие как GitHub, в собственные аккаунты, локальные или облачные. В то время как многие разработчики ПО делают то же самое, в данном случае возникает масштабный риск кражи кода, – говорится в уведомлении ФБР. – [Эти работники] могут попытаться собирать значимые реквизиты доступа и файлы cookies сессий доступа для запуска рабочих сессий с неавторизованных устройств и с целью дальнейшей компрометации».

Проблема, однако, в том, что эти работники активно используют ИИ для подмены лиц, в том числе при собеседовании через веб-камеру, что дополнительно осложняет процесс проверки, пишут в CNews.

С другой стороны, известно, что эти люди нередко используют одни и те же почтовые адреса и телефонные номера несколько раз, и это их выдает с головой. Среди других признаков названы характерные опечатки в резюме и нестандартная номенклатура.

Как отметил аналитик Mandiant Майкл Барнхарт (Michael Barnhart), ИТ-работники активно пользуются тем, что некоторые работодатели пользуются виртуальной инфраструктурой (VDI – Virtual Desktop Infrastructure) для взаимодействия с удаленными работниками, вместо того, чтобы отправлять им физические ноутбуки. Компании на этом экономят, но это повышает и риски нанять кого не стоило бы.

Власти США предлагают миллионы за информацию, которая позволила бы нарушить деятельность «личин» – подменных компаний, которые используются для прикрытия недружественной ИТ-деятельности северокорейских структур.