安全研究人员表示,一位风险投资家、一位大公司的招聘人员和一位新聘用的远程IT工作者似乎没有太多共同点,但他们都被抓获,都是为朝鲜政权秘密工作的冒名顶替者。
周五,在华盛顿特区举行的以网络空间破坏性威胁为主题的年度会议Cyberwarcon上,安全研究人员对来自朝鲜的威胁进行了最新评估。研究人员警告说,朝鲜黑客不断试图冒充跨国公司的潜在求职者,目的是为朝鲜政权赚钱,并窃取有利于其武器计划的公司机密。这些冒名顶替者在过去十年中窃取了数十亿美元的加密货币,用于资助朝鲜的核武器计划,躲避了一系列国际制裁。
微软安全研究员詹姆斯·埃利奥特(James Elliott)在Cyberwarcon演讲中表示,朝鲜IT工作者已经通过创建虚假身份渗透到全球“数百个”企业,同时依靠美国的协助者来处理公司发放的工作站和收入,以规避针对朝鲜人的金融制裁。
对朝鲜网络能力进行调查的研究人员认为,如今来自朝鲜的网络安全威胁日益严重,因为朝鲜是一个由各种黑客组织组成的模糊群体,他们使用不同的策略和技术,但共同的目标是窃取加密货币。朝鲜政权面临的黑客攻击风险很小——该国已经受到制裁的困扰。
微软称之为“Ruby Sleet”的一群朝鲜黑客入侵了航空航天和国防公司,目的是窃取可能有助于进一步开发其武器和导航系统的行业机密。
微软在一篇博文中详细介绍了另一组朝鲜黑客,他们被称为“Sapphire Sleet”(蓝宝石闪电),他们在活动中伪装成招聘人员和风险投资家,目的是窃取个人和公司的加密货币。朝鲜黑客通过引诱或初步接触与目标联系后,会安排一次虚拟会议,但会议实际上是被设计为不正常加载程序的。
在假冒风险投资的情况下,冒名顶替者会迫使受害者下载伪装成修复损坏的虚拟会议的工具的恶意软件。在假冒招聘人员活动中,冒名顶替者会要求潜在应聘者下载并完成技能评估,但其中实际上包含恶意软件。一旦安装,恶意软件就可以访问计算机上的其他资料,包括加密货币钱包。微软表示,仅在六个月的时间里,黑客就盗取了至少1000万美元的加密货币。
但迄今为止,最持久、最难打击的活动是朝鲜黑客试图利用新冠疫情期间开始的远程工作热潮,在大公司获得远程工作职位。
微软称朝鲜的IT工作人员是“三重威胁”,因为他们有能力欺骗性地获得大公司的聘用,为朝鲜政权赚钱,同时还能窃取公司机密和知识产权,然后以泄露信息为威胁敲诈公司。
在数百家无意中雇佣朝鲜间谍的公司中,只有少数几家公司公开承认自己是受害者。安全公司KnowBe4今年早些时候表示,该公司曾被骗雇用了一名朝鲜员工,但该公司在意识到上当受骗后立即阻止了这名员工的远程访问,并表示公司数据未被窃取。
朝鲜IT工作者如何欺骗公司雇佣他们
典型的朝鲜IT工作人员会创建一系列在线账户,如LinkedIn个人资料和GitHub页面,以建立一定程度的专业信誉。IT工作人员可以使用人工智能生成虚假身份,包括使用换脸和变声技术。
一旦被录用,公司就会将员工的新笔记本电脑运送到美国的一个家庭地址,而公司并不知道该地址由一名协助者管理,该协助者的任务是建立公司配发的笔记本电脑农场。协助者还在笔记本电脑上安装了远程访问软件,让地球另一端的朝鲜间谍在不暴露真实位置的情况下远程登录。
微软表示,它还观察到朝鲜的间谍不仅在朝鲜境内开展活动,还在俄罗斯和中国这两个国家开展活动,这使得公司更难识别其网络中的朝鲜间谍嫌疑人。
微软的埃利奥特表示,该公司很幸运地收到了一个无意中公开的朝鲜IT工作人员的公开资料库,其中包含电子表格和文件,详细分析了这一活动,包括朝鲜IT工作人员为获得聘用而使用的虚假身份和简历档案,以及在行动中赚取的金额。埃利奥特描述说,这些资料库拥有黑客进行身份盗窃的“全部剧本”。
朝鲜人还会使用一些可能暴露他们是假身份的伎俩,比如一旦他们获得了公司的电子邮件地址,就会立即验证他们假身份的 LinkedIn 账户,以使这些账户具有更大的合法性。
这并不是研究人员给出的唯一一个黑客粗心大意的例子,这些例子有助于揭露他们行动的真实性质。
Hoi Myong和一位网名为SttyK的研究员表示,他们识别朝鲜IT工作者嫌疑人的部分方法是联系他们,揭露他们虚假身份的漏洞,而这些虚假身份并不总是经过精心构建的。
在Cyberwarcon的谈话中,Myong和SttyK表示,他们与一名自称是日本人的朝鲜IT工作者嫌疑人进行了交谈,但他在信息中会犯语言错误,例如使用日语中不存在的单词或短语。这名IT工作者的身份还有其他缺陷,例如声称在中国拥有银行账户,但IP地址却显示此人在俄罗斯。
近年来,美国政府已对与朝鲜有关的组织实施制裁,以应对朝鲜IT工作人员的阴谋。联邦调查局还警告称,恶意行为者经常使用人工智能生成的图像或“深度伪造”(deepfakes)来获得技术工作,这些图像通常来自被盗身份。2024年,美国检察官对多名个人提起了指控,指控他们经营笔记本电脑农场,为逃避制裁提供便利。
但研究人员敦促,公司也必须更好地审查其潜在员工。
“他们不会消失,”埃利奥特说。“他们会在这里待很长时间。”