Що сталось

Федеральний суд США виніс вироки трьом особам за їхню участь у схемі, що дозволяла північнокорейським ІТ-фахівцям працювати на американські компанії, приховуючи свою справжню особу та місцезнаходження. Засуджені, перебуваючи у своїх домівках, сприяли переказу близько 1,28 мільйона доларів заробітної плати від американських компаній до Північної Кореї. Ця схема була розроблена для обходу міжнародних санкцій, спрямованих на обмеження фінансування програм озброєнь КНДР. Зловмисники допомагали північнокорейським працівникам створювати підроблені особисті дані та використовували так звані «ферми ноутбуків» для маскування їхньої діяльності.

Технічні деталі

Центральним елементом схеми були «ферми ноутбуків» (laptop farms) – фізичні локації, де розміщувалися численні ноутбуки, підключені до інтернету через різні провайдери та VPN-сервіси. Це дозволяло північнокорейським ІТ-фахівцям віддалено підключатися до цих пристроїв, створюючи ілюзію, що вони працюють з території США або інших країн, які не підпадають під санкції. Для обходу систем перевірки особистості та фонових перевірок, зловмисники:

  • Використовували підроблені документи, включаючи фальшиві посвідчення особи та резюме.
  • Застосовували VPN-сервіси та проксі-сервери для приховування реальних IP-адрес північнокорейських працівників.
  • Надавали доступ до своїх домашніх мереж, щоб ІТ-фахівці могли працювати, нібито перебуваючи у США.
  • Допомагали з відкриттям банківських рахунків та обробкою платежів, маскуючи кінцевих бенефіціарів.
Такі методи дозволяли північнокорейським агентам інтегруватися в команди розробників програмного забезпечення, тестувальників та інших ІТ-спеціалістів, отримуючи доступ до конфіденційної інформації та фінансових ресурсів.

Кому загрожує

Цей інцидент є серйозним попередженням для будь-яких організацій, що наймають віддалених співробітників, особливо в умовах глобального ринку праці. Загроза стосується:

  • ІТ-компаній та стартапів: які активно використовують фрілансерів та віддалені команди.
  • Урядових та оборонних підрядників: де доступ до чутливих даних може мати критичні наслідки.
  • Фінансових установ: які можуть бути використані для відмивання коштів або обходу санкцій.
  • Будь-яких організацій: що не мають надійних процесів перевірки особистості та моніторингу доступу для віддалених працівників.
Північна Корея, як і інші держави-спонсори кібератак, активно використовує такі схеми для фінансування своїх незаконних програм, що робить цей тип загрози особливо актуальним для України в контексті протидії гібридним загрозам.

Рекомендації

Для мінімізації ризиків, пов'язаних з подібними схемами, Cyber Index UA рекомендує:

  • Посилена перевірка кандидатів: Впроваджуйте багатоступеневі процеси перевірки особистості (KYC – Know Your Customer, KYE – Know Your Employee), включаючи біометричні дані, перевірку документів через незалежні джерела та відеоінтерв'ю.
  • Моніторинг мережевого доступу: Використовуйте системи управління ідентифікацією та доступом (IAM) та моніторингу поведінки користувачів (UEBA) для відстеження аномальної активності, незвичайних IP-адрес або місць підключення.
  • Обмеження прав доступу: Застосовуйте принцип найменших привілеїв, надаючи працівникам лише той доступ, який необхідний для виконання їхніх обов'язків.
  • Навчання співробітників: Проводьте регулярні тренінги з кібербезпеки, щоб підвищити обізнаність про фішингові атаки, соціальну інженерію та інші методи, які можуть бути використані для компрометації.
  • Дотримання санкційного законодавства: Регулярно перевіряйте списки санкцій та співпрацюйте з юридичними консультантами для забезпечення відповідності міжнародним нормам.
  • Використання безпечних платформ: Застосовуйте корпоративні VPN та захищені платформи для віддаленої роботи, які дозволяють контролювати та логувати всі дії.

🔗 Джерело: Cyberscoop →