Северокорейские хакеры атакуют фрилансеров на Upwork и GitHub

По данным исследователей в области кибербезопасности, северокорейские агенты «диверсифицировали» способы обмана жертв, используя платформы для фриланса и хостинга кода, которые вербуют ничего не подозревающих пользователей вdentподставных лиц для удаленной работы в сфере технологий. 

ИТ-специалисты Корейской Народной Демократической Республики (КНДР) используют Upwork, Freelancer и GitHub, чтобы выдавать себя за законных работников и обходить международные санкции, используя подтвержденные аккаунты, принадлежащие реальным людям.

По словам исследователя кибербезопасности Хайнера Гарсиа Переса, сотрудника SEAL Intel, хакеры начинают с размещения объявлений о вакансиях для фрилансеров или обращения к кандидатам, а затем переводят общение в зашифрованные каналы, такие как Telegram или Discord, где предоставляют подробные инструкции по настройке удаленного доступа и проверок.

КНДР использует фрилансеров для обхода санкций

Гарсия обнаружил , что агенты КНДР могут обходить географические фильтры,dentличности и системы обнаружения VPN, которые обычно блокируют пользователей из стран, находящихся под санкциями, незаметно используя подтвержденные учетныеdent. 

Это позволяет им подавать заявки на удаленные IT-работы или выполнять их, используя украденные или заимствованныеdentданные, скрывая свое происхождение и получая платежи от ничего не подозревающих клиентов. 

«Эти участники организованы, скоординированы и используют общие оперативные стратегии. Последовательность их методов показывает, что это часть повторяющейся, поддерживаемой государством системы», — написал член разведывательного подразделения SEAL.

Как сообщалось изданием Cryptopolitan , несколько северокорейских IT-специалистов проникли в международные компании, используя фальшивые удостоверенияdent. По имеющимся данным, это помогло властям КНДР нанимать удаленных IT-специалистов за границу для получения работы на фрилансе или по контракту,tracукраденные или заимствованные удостоверенияdent, а также подставные компании, скрывающие их принадлежность к этим организациям.

Те, чьиdentданные используются, получают лишь около 20% от общего дохода, в то время как оперативники оставляют себе 80%, которые переводятся через криптовалютные кошельки или даже традиционные банковские счета. 

Использование ИИ для обработки изображений и названий компаний

Расследование Гарсиа Переса выявило ряд случаев технической изощренности и преднамеренного сокрытия информации. В одном из случаев IT-специалист создал папку в Google Drive под названием «Мои фотографии», где отредактированные с помощью ИИ портреты хранились вместе с папками, содержащими имена других людей. Он считает, что эти цифровые документы представляют собой отдельные личности, управляемые одним и тем же пользователем.

Восстановленные им с жесткого диска файлы содержали более подробную информацию о процессах найма и оплаты труда. Один из файлов, озаглавленный «Аккаунт», содержал инструкции по доступу к Upwork, цели сотрудничества и распределению прибыли. 

Некоторые папки были названы на корейском языке, например, «it개발 매칭 플랫폼 사이트», что переводится как «Сайт платформы для сопоставления проектов в сфере ИТ». Следователь предположил, что такие документы использовались для «корейскоязычных пользователей и отечественной ИТ-экосистемы»

Хайнер Гарсия Перес также обнаружил, что северокорейские деятели используют онлайн-сообщества для людей с ограниченными возможностями, порталы по поиску работы и даже сайты знакомств, такие как InterPals, для вербовки сообщников.

Платежные потоки осуществляются через криптовалюту, PayPal и банки

Идеальными целями для таких операций являются, в основном, Соединенные Штаты, Европа и некоторые части Азии. Однако Украина и Филиппины чаще всегоdentв вербовочных материалах, поскольку в этих регионах проживает много кандидатов с низким уровнем дохода, которые могут быть более восприимчивы к «возможностям быстрого заработка»

«Если клиент размещает проект, многие фрилансеры подают на него заявки. Затем клиент обсуждает свой проект с фрилансерами и передает его выбранному разработчику. При желании я могу работать над проектом клиента. После завершения проекта я получаю деньги от клиента. Деньги зачисляются на мой фрилансерский счет», — объяснил один IT-рекрутер владелице фрилансерского аккаунта по имени «Ана», как зарабатывать деньги

Структура распределения прибыли между агентами и их сообщниками согласовывается на ранней стадии сделки. В большинстве задокументированных случаев IT-специалисты убеждают жертв использовать криптовалюту, PayPal и даже банковские переводы.

В одном из подтвержденных случаев северокорейский IT-специалист использовал мошеннический аккаунт на Upwork, зарегистрированный наdentархитектора из Иллинойса.