Північнокорейські ІТ-спеціалісти розширюють свою діяльність по всьому світу, зокрема в Європі, створюючи значні ризики для кібербезпеки, шпигунства та фінансові ризики для компаній, які не знають, що наймають їх на роботу, йдеться у новому звіті про загрози, підготовленому Групою розвідки загроз Google (GTIG).

У звіті, опублікованому цього тижня, висвітлюється, як оперативники з Корейської Народно-Демократичної Республіки (КНДР) продовжують проникати в організації під чужими іменами, використовуючи фріланс-платформи та можливості віддаленої роботи для отримання прибутку для режиму, що перебуває під санкціями. Їх тактика еволюціонує - від використання віртуалізованих ІТ-середовищ до запуску агресивних кампаній здирництва проти колишніх роботодавців.

Після зростання обізнаності та правоохоронних заходів у США північнокорейські ІТ-оперативники перемкнули увагу на європейські фірми. GTIG виявила працівників з КНДР, які активно шукають роботу в Німеччині, Португалії та Великобританії, часто орієнтуючись на оборонні та урядові організації. Було виявлено, що один працівник використовував щонайменше дюжину підставних осіб у Європі та США, одночасно подаючи заявки на різні посади та надаючи фальшиві рекомендації - іноді через інших осіб, яких він контролював.

У Великій Британії північнокорейські підрядники брали участь у широкому спектрі проєктів з розробки, включаючи вебплатформи, блокчейн-системи, розробку ботів і програм штучного інтелекту. Це включало розробку смартконтрактів Solana та додатків на основі штучного інтелекту, створених за допомогою таких фреймворків, як React, MongoDB, Tailwind CSS і Golang.

Щоб уникнути викриття, ІТ-працівники КНДР часто видають себе за громадян України, а також таких країн, як Італія, Сінгапур, В'єтнам, використовуючи комбінацію справжніх і вигаданих ідентифікаційних даних. Зазвичай їх наймають через фріланс-платформи, такі як Upwork, Freelancer і Telegram, і платять їм криптовалютою або через такі сервіси, як Payoneer і TransferWise, щоб приховати походження і потік коштів.

GTIG також виявила інфраструктуру підтримки в Європі, включаючи посередників, які допомагали північнокорейським оперативникам отримувати шахрайські ідентифікаційні дані, обходити процеси перевірки особи та перенаправляти корпоративне обладнання. В одному з випадків мова йшла про ноутбук компанії, призначений для Нью-Йорка, який використовувався в Лондоні.

GTIG закликає компанії, особливо в Європі, посилити процеси перевірки особистих даних, уважно стежити за залученням фрілансерів і забезпечити надійну безпеку кінцевих точок у віртуальних робочих просторах.