Microsoft ripulisce 3.000 account di posta elettronica collegati a dipendenti IT nordcoreani

Microsoft ha sospeso 3000 account Outlook e Hotmail legati a un'operazione nordcoreana che coinvolgeva cittadini della RPDC che si spacciavano per lavoratori a distanza sotto falsedent.

Funzionari statunitensi avvertono da tempo che la Corea del Nord utilizza proventi illeciti derivanti da attacchi informatici nel settore delle criptovalute, frodi e operazioni informatiche per eludere le sanzioni internazionali e finanziare i propri programmi militari. Le autorità stanno ora intensificando la repressione di quella che definiscono un'organizzazione criminale globale che convoglia segretamente milioni di dollari al regime autoritario di Kim Jong Un.

Microsoft chiude 3.000 account di posta elettronica collegati alla Corea del Nord

Microsoft ha sospeso oltre 3.000 account di posta elettronica nell'ambito di un'operazione internazionale condotta da dipendenti IT nordcoreani che si spacciavano per professionisti del settore tecnologico che lavoravano da remoto.

Le azioni di Microsoft seguono un'operazione coordinata che coinvolge il Dipartimento di Giustizia degli Stati Uniti, l'FBI e altre agenzie federali. Insieme, hanno iniziato a smantellare una sofisticata cospirazione, il cui nome in codice è "Jasper Sleet" secondo Microsoft Threat Intelligence. Si tratta di un'operazione che sfrutta il mercato del lavoro freelance e le aziende tecnologiche in tutto il mondo.

Si ritiene che l'operazione non solo frodi i datori di lavoro, ma finanzi direttamente anche il programma di armi nucleari della Corea del Nord.

Secondo il team Threat Intelligence di Microsoft, il sistema coinvolge professionisti IT qualificati provenienti dalla Repubblica Popolare Democratica di Corea (RPDC) che assumono falsedentper ottenere un impiego da remoto presso aziende straniere, in particolare negli Stati Uniti.

Molti di questi lavoratori sono altamente qualificatie alcuni datori di lavoro, senza saperlo, li elogiano come i migliori.

"Non si tratta di hacker che si introducono nei sistemi", ha affermato il Threat Intelligence Center (MSTIC) di Microsoft. "Sono sviluppatori qualificati, ingegneri del controllo qualità e specialisti del supporto IT che superano i colloqui, svolgono lavori reali e si mimetizzano, tranne per un dettaglio cruciale: lavorano per la RPDC"

In molti casi, i complici, che a volte sono cittadini americani, facilitano l’accesso affittando le lorodento gestendo quelle che le autorità descrivono come “fattorie di computer portatili”

Le fabbriche di computer portatili sono luoghi fisici in cui vengono spediti e gestiti i computer portatili forniti da datori di lavoro ignari. Almeno 29 di questi siti sono stati perquisiti dalle forze dell'ordine, con computer portatili installati con software di accesso remoto o dirottati fisicamente verso Cina o Russia.

Il Dipartimento di Giustizia ha recentemente dettagliato il caso di un dipendente di un salone di bellezza del Maryland, che sarà condannato ad agosto. L'uomo è stato ritenuto colpevole di aver svolto contemporaneamente 13 lavori per conto di dipendenti IT nordcoreani, guadagnando quasi 1 milione di dollari in pagamenti da remoto.

Secondo le stime delle Nazioni Unite, il programma di reclutamento di personale informatico nordcoreano genera fino a 600 milioni di dollari all'anno. Questi ricavi finiscono spesso per finanziare operazioni di criminalità informatica e le ambizioni nucleari del Paese.

Microsoft reagisce con l'intelligenza artificiale e gli strumenti di rilevamento

In un post sul blog di questa settimana, Microsoft ha descritto in dettaglio la sospensione di 3.000 account di posta elettronica di consumatori, principalmente Outlook e Hotmail, utilizzati dagli agenti nordcoreani.

"Oltre ai 3.000 account di posta elettronica dei consumatori che sono stati recentemente rimossi, nel nostro impegno per interrompere l'attività degli autori e proteggere i nostri clienti da questa minaccia, Microsoft ha continuato a rimuovere gli account personali man mano che venivanodente tracl'uso dell'intelligenza artificiale da parte degli autori", ha affermato Jeremy Dallman, direttore senior del Threat Intelligence Center di Microsoft.

Microsoft ha osservato che i lavoratori nordcoreani stanno diventando sempre più sofisticati. Ora sfruttano strumenti di intelligenza artificiale per correggere errorimaticin curriculum e lettere di presentazione, migliorare le loro foto per farle apparire più professionali o occidentalizzate e utilizzare la tecnologia FaceSwap per sovrapporre le loro immagini ai documenti didentrubati.

Alcuni stanno persino sperimentando software che modificano la voce per aiutare i facilitatori a superare i colloqui di lavoro al posto loro. Sebbene Microsoft non abbia ancora osservato l'uso combinato di deepfake vocali e video basati sull'intelligenza artificiale nei colloqui in tempo reale, l'azienda ha avvertito che potrebbe essere solo questione di tempo.

"Se avrà successo, questa tattica potrebbe consentire ai lavoratori IT nordcoreani di svolgere i colloqui direttamente e di non dover più fare affidamento su facilitatori che li sostituiscano", ha affermato Microsoft.

Queste tattiche di intelligenza artificiale avanzate consentono agli agenti di mascherare meglio la propria origine, rendendo più difficile per i datori di lavorodenteventuali segnali d'allarme. Metodi comuni includono il riciclo di nomi, indirizzi email e modelli di profilo su diverse piattaforme di lavoro come LinkedIn, GitHub e marketplace per freelance.

Per rilevare e difendersi da queste tattiche, Microsoft ha implementato una soluzione di apprendimento automatico personalizzata che segnala le attività sospette utilizzando quella che definisce un'analisi del "viaggio nel tempo impossibile", che include il monitoraggio degli accessi in luoghi geograficamente improbabili entro intervalli di tempo ristretti, come l'accesso dagli Stati Uniti, seguito a ruota da Cina o Russia.

Microsoft sta inoltre potenziando i suoi strumenti di protezionedente sollecitando le aziende ad adottare protocolli di autenticazionetrone sistemi di rilevamento dei rischi in tempo reale. L'azienda tecnologica ha collaborato con le agenzie governative statunitensi per condividere informazioni e sviluppare soluzioni tecniche applicabili in tutto il settore della sicurezza informatica.

L'azienda si è impegnata a mantenere la pressione sulla minaccia in continua evoluzione. "Jasper Sleet cambia e sviluppa costantemente i propri profili", ha affermato Dallman. "Stiamo osservando come si adattano, soprattutto con l'intelligenza artificiale, e ci impegniamo per essere sempre un passo avanti"