Еще в июле 2024 года поставщик услуг кибербезопасности KnowBe4 начал замечать подозрительную активность, связанную с новым сотрудником. Этот человек начал манипулировать и переносить потенциально вредоносные файлы, а также пытался запустить несанкционированное ПО. Позже выяснилось, что это был северокорейский работник, который обманул HR-отдел компании, чтобы получить удаленную работу. В общей сложности этот человек успешно прошел четыре видеоинтервью, а также проверку биографии и предварительный отбор.
Этот инцидент подчеркивает, что ни одна организация не застрахована от риска непреднамеренного найма саботажника. Угрозы, основанные на личности, не ограничиваются украденными паролями или захватом учетных записей, но распространяются и на самих людей, присоединяющихся к вашей команде. Поскольку ИИ становится все лучше в подделке реальности, пора улучшать ваши процессы найма.
Масштаб проблемы
Вы можете быть удивлены, насколько широко распространена эта угроза. По данным плаката ФБР, она существует как минимум с апреля 2017 года. Отслеживаемая как WageMole исследователями ESET, эта активность пересекается с группами, обозначенными как UNC5267 и Jasper Sleet другими исследователями. По данным Microsoft, правительство США обнаружило более 300 компаний, включая некоторые из списка Fortune 500, которые стали жертвами таким образом только за период с 2020 по 2022 год. В июне технологическая компания была вынуждена приостановить работу 3000 учетных записей Outlook и Hotmail, созданных северокорейскими соискателями.
Отдельно, в США выдвинуто обвинение против двух граждан Северной Кореи и трех «пособников» за получение более 860 000 долларов от 10 из более чем 60 компаний, в которых они работали. Но это не только американская проблема. Исследователи ESET предупредили, что в последнее время фокус сместился на Европу, включая Францию, Польшу и Украину. Тем временем Google предупредил, что британские компании также находятся под ударом.
Как они это делают?
Тысячи северокорейских работников могли трудоустроиться таким образом. Они создают или крадут личности, соответствующие местоположению целевой организации, а затем открывают электронные почты, профили в социальных сетях и фейковые аккаунты на платформах для разработчиков, таких как GitHub, для придания легитимности. В процессе найма они могут использовать deepfake-изображения и видео, или ПО для замены лиц и изменения голоса, чтобы скрыть свою личность или создать синтетические.
По данным исследователей ESET, группа WageMole связана с другой северокорейской кампанией, которую они отслеживают как DeceptiveDevelopment. Эта кампания направлена на то, чтобы обмануть западных разработчиков и заставить их подавать заявки на несуществующие вакансии. Мошенники просят своих жертв выполнить кодинг-задачу или предварительное собеседование. Но проект, который они скачивают для выполнения, на самом деле содержит троянизированный код. WageMole крадет эти личности разработчиков для использования в своих схемах с фальшивыми работниками.
Ключ к мошенничеству лежит в иностранных пособниках. Во-первых, они помогают:
- создавать аккаунты на сайтах фриланс-вакансий
- создавать банковские счета или предоставлять свои северокорейскому работнику
- покупать номера мобильных телефонов SIM-карт
- подтверждать мошенническую личность работника во время проверки при трудоустройстве, используя службы проверки биографии
Как только фальшивый работник нанят, эти люди получают корпоративный ноутбук и настраивают его на «ферме ноутбуков», расположенной в стране компании-нанимателя. Северокорейский IT-специалист затем использует VPN, прокси-сервисы, системы удаленного мониторинга и управления (RMM) и/или виртуальные частные серверы (VPS), чтобы скрыть свое реальное местоположение.
Последствия для обманутых организаций могут быть огромными. Мало того, что они неосознанно финансируют страну, находящуюся под жесткими санкциями, так еще и эти же сотрудники часто получают привилегированный доступ к критически важным системам. Это открывает дверь для кражи конфиденциальных данных или даже для удержания компании в заложниках с помощью ransomware.
СВЯЗАННОЕ ЧТЕНИЕ: Увольнение сотрудников: почему компании должны закрыть критический пробел в своей стратегии безопасности
Как их распознать – и остановить
Неосознанное финансирование ядерных амбиций страны-изгоя — это почти худшее, что может случиться с точки зрения репутационного ущерба, не говоря уже о финансовой уязвимости перед риском утечки данных, который влечет за собой компрометация. Так как же ваша организация может избежать того, чтобы стать следующей жертвой?
1. Выявляйте фальшивых работников в процессе найма
- Проверяйте цифровой профиль кандидата, включая социальные сети и другие онлайн-аккаунты, на предмет сходства с другими людьми, чьи личности они могли украсть. Они также могут создавать несколько фейковых профилей для подачи заявок на вакансии под разными именами.
- Обращайте внимание на несоответствия между онлайн-активностью и заявленным опытом: «старший разработчик» с общими репозиториями кода или недавно созданными аккаунтами должен вызывать подозрения.
- Убедитесь, что у них есть законный, уникальный номер телефона, и проверьте их резюме на наличие несоответствий. Подтвердите, что указанные компании действительно существуют. Связывайтесь с референсами напрямую (по телефону/видеосвязи) и уделяйте особое внимание сотрудникам кадровых агентств.
- Поскольку многие кандидаты могут использовать аудио, видео и изображения, созданные с помощью deepfake, настаивайте на видеоинтервью и проводите их несколько раз во время найма.
- Во время интервью считайте любые заявления о неисправности камеры серьезным предупреждением. Попросите кандидата отключить фоновые фильтры, чтобы лучше рассмотреть deepfake. (Признаками могут быть визуальные сбои, неестественные выражения лица и движения губ, не совпадающие со звуком.) Задавайте вопросы, связанные с местоположением и культурой, о том, где они «живут» или «работают», например, о местных продуктах питания или спорте.
2. Отслеживайте сотрудников на предмет подозрительной активности
- Будьте внимательны к таким признакам, как китайские номера телефонов, немедленная загрузка ПО RMM на новый ноутбук и работа, выполняемая вне обычных рабочих часов. Если ноутбук аутентифицируется с китайских или российских IP-адресов, это также следует расследовать.
- Следите за поведением сотрудников и шаблонами доступа к системам, такими как необычные входы в систему, большие объемы передаваемых файлов или изменения в рабочем графике. Сосредоточьтесь на контексте, а не только на оповещениях: разница между ошибкой и злонамеренной деятельностью может заключаться в намерении.
- Используйте инструменты для выявления инсайдерских угроз, чтобы отслеживать аномальную активность.
3. Сдерживайте угрозу
- Если вы подозреваете, что выявили северокорейского работника в вашей организации, сначала действуйте осторожно, чтобы не спугнуть его.
- Ограничьте его доступ к конфиденциальным ресурсам и проанализируйте его сетевую активность, доверив этот проект небольшой группе доверенных лиц из IT-безопасности, HR и юридического отдела.
- Сохраняйте доказательства и сообщите об инциденте правоохранительным органам, одновременно обращаясь за юридической консультацией для компании.
Когда все уляжется, также будет полезно обновить ваши программы обучения по кибербезопасности. И убедитесь, что все сотрудники, особенно менеджеры по найму IT и сотрудники HR, понимают некоторые из красных флагов, на которые стоит обращать внимание в будущем. Тактики, методы и процедуры (TTP) злоумышленников постоянно развиваются, поэтому эти рекомендации также необходимо будет периодически обновлять.
Лучшие подходы к предотвращению превращения фальшивых кандидатов в злонамеренных инсайдеров сочетают человеческий опыт и технические средства контроля. Убедитесь, что вы охватили все аспекты.