Так вони поширюють шкідливе ПЗ і допомагають уряду обходити санкції.
Про участь зловмисників з КНДР у фішингових кампаніях на кшталт горезвісної «Роботи мрії» відомо давно. А днями дослідники з кібербезпеки виявили зв’язок північнокорейських хакерів зі ще двома кампаніями, де ті маскувалися під рекрутерів або шукачів вакансій. Метою першої операції було викрадення криптовалюти та використання скомпрометованих цілей як середовища для додаткових атак, другої – незаконне отримання роботи в IT-галузі, у США та інших країнах світу. У такий спосіб хакери допомагають КНДР обходити санкції та фінансувати ракетну програму. Минулого місяця Міністерство юстиції США повідомило про арешти 17 доменів вебсайтів, які використовували північнокорейські зловмисники, та конфіскацію $1,5 млн хакерських доходів.
Замасковані під вербувальників кіберзлочинці використовують фіктивні співбесіди для зараження пристроїв жертв шкідливим ПЗ через різноманітні документи, посилання в електронних листах, опитування, тести тощо. Використовувані ними кросплатформові зловмисні програми можуть працювати в системах Windows, Linux і macOS. «Шукачі» роботи розміщують на репозиторії GitHub резюме з фальшивими іменами, видаючи себе за громадян різних країн. Деякі резюме містять посилання на профіль LinkedIn і на облікові записи GitHub (оформлені так, що їх майже неможливо відрізнити від легальних). Один з хакерів, якому вдалося втекти з «комуністичного раю», розповів, що його група щороку створювала від 20 до 50 фіктивних профілів, і, ледь отримавши віддалену роботу за одним з них, відразу бралася за розробку нового.
Фахівці з кібербезпеки зазначають, що розробники ПЗ зазвичай є найслабшою ланкою для Supply Chain Attack (атака на ланцюг постачання), а кількість шахрайських пропозицій щодо працевлаштування лише зростає – і закликають бути пильними як справжніх рекрутерів, так і зацікавлених в реальній роботі. Останнім наполегливо радять не запускати на своїх та корпоративних пристроях невідоме ПЗ, надане буцімто для перегляду чи аналізу.
