Pracownicy IT z Korei Północnej podszywali się pod Polaków

Informacja dotycząca północnokoreańskich prób rekrutowania tamtejszych pracowników IT w polskich organizacjach pojawiła się w raporcie Mandianta (obecnie części Google Cloud) z 1 kwietnia br. Wówczas na liście krajów-celów wymieniono m.in. Polskę, USA, Niemcy, Ukrainę, Japonię czy Pakistan.

W cotygodniowym krajobrazie zagrożeń CERT Orange (z 8 kwietnia) czytamy:

„Zatrudniani pracownicy podawali się za obywateli innych krajów, dostarczali sfabrykowane referencje (w tym od wykreowanych na tę potrzebę fałszywych person) oraz korzystali ze sfałszowanych dokumentów. W przypadku próby zwolnienia takiego pracownika, szantażowali firmę ujawnieniem danych wrażliwych pozyskanych w trakcie pracy. (…)

Celem stają się firmy angażujące się w innowacyjne inicjatywy lub mogące posiadać wartościowe dla koreańskiego reżimu informacje. Początkowo atakowane były tylko mniejsze firmy, lecz obecnie problem dotyczy także większych firm. Głównymi motywacjami atakujących jest szpiegostwo oraz pozyskanie środków na finansowanie reżimu”.

Nowy raport, ta sama Korea

19 maja br. Nisos opublikował raport dotyczący rekrutacji północnokoreańskich pracowników IT, którzy podszywali się pod Polaków i Amerykanów.

Wiele wskazuje, że to inna kampania do tej opisanej w kwietniu br. Tym razem działania cyberprzestępców opierały się na fałszywych portfolio wraz z kontami na GitHubie.

„Ta sieć stanowi pierwszy sygnał, że pracownicy IT powiązani z KRLD mogą zakładać fikcyjne firmy zajmujące się tworzeniem oprogramowania, prezentujące się poprzez wiarygodnie wyglądające strony internetowe, aby zdobywać zlecenia jako freelancerzy” – stwierdzono w dokumencie.

Wśród TTP (taktyk, technik, procedur) wskazujących na Koreę Północną wyróżniono:

• lonta na GitHubie wykazywały nietypową spójność wizerunków - wiele z nich miało podobne awatary;
• persony (tożsamości) w sieci używały zbliżonych adresów e-mail, w których często pojawiało się słowo „century";
• strony portfolio były do siebie wyjątkowo podobne - co sugeruje, że powstały według jednego szablonu z identyczną treścią;
• ten sam aktor zagrożeń zakładał konta pod różnymi nazwiskami, próbując zdobyć zatrudnienie;
• zdjęcia profilowe były cyfrowo zmanipulowane -  twarze często wklejano na zdjęcia z tzw. stocka (repozytorium zdjęć);
• tę samą personę (tożsamość) wykorzystywało kilku różnych aktorów zagrożeń.

Korea Północna też używa AI

Awatary na GitHubie wyglądają na wygenerowane za pomocą sztucznej inteligencji. Wiele z nich przypomina lwa. To samo dotyczy zdjęć profili na GitHubie, które są wyraźnie przerobione.

Adresy zawarte w portfoliach czy kontach są prawdziwe i wydaje się, że wskazują na losowo wybrane budynki w polskich miastach (np. siedzibę firmy z Wrocławia czy dom w Warszawie).

Fałszywe osoby

Z racji na to, że informacje są sztucznie wygenerowane, nie mają na celu podszyć się pod określoną osobę (są zmyślone) oraz w raporcie znajduje się podobny zestaw informacji – zachowaliśmy je w oryginale.

Bardzo ciekawy jest przykład „Kornela Dudka”, który ma mieć pięć skończonych projektów oraz tyle samo zadowolonych klientów. Możemy też dowiedzieć się, że ma pięć lat doświadczenia oraz wypił 514 filiżanek kawy.

W tym przypadku Koreańczycy z północy względnie przyłożyli się do wykonania zadania – podali prawdziwy adres oraz numer telefonu, który przypomina polski (zaczynający się od +48 22, choć nie zgadza się liczba cyfr).

Zdjęcie wygląda na edytowane z wykorzystaniem AI.

„Informatycy z Pjongjangu” nie postarali się tak w innych przypadkach. Analitykom z Nisos udało się wykryć dwóch „Janów Kowalskich”. Jeden z nich miał nawet rekomendację od wspomnianego Kornela Dudka (wyglądającego nieco inaczej niż w przytoczonym wcześniej profilu) oraz twierdził, że skończył… Politechnikę Wrocławską.

Poniżej znajduje się zrzut ekranu jednego z fałszywych kont, które charakteryzowały się polskimi imionami i nazwiskami.

Polska wśród celów Korei Północnej

Powyższe przykłady dobrze pokazują, że problem pracowników IT z Korei Północnej dotyczy również naszego kraju. Nie znamy „osiągnięć” osób podszywających się pod Polaków, lecz niewykluczone, że raport Nisosa pokrzyżuje ich plany.

Warto przytoczyć również fałszywe rekrutacje na LinkedIn czy malware w rozszerzeniu Chrome’a – Korea Północna umie wykazać się kreatywnością.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].