„Pracownicy IT” z Korei Północnej. Polska na liście celów

1 kwietnia br. Google (Mandiant) opublikował raport dotyczący pracowników zdalnych z Korei Północnej. Stany Zjednoczone nadal pozostają głównym obiektem zainteresowania reżimu Kim Dzong Una, lecz odnotowano wzrost takich działań w Europie.

O raporcie Mandiant wspomniano w cotygodniowym Krajobrazie zagrożeń CERT Orange z 8 kwietnia br.

„Zatrudniani pracownicy podawali się za obywateli innych krajów, dostarczali sfabrykowane referencje (w tym od wykreowanych na tę potrzebę fałszywych person) oraz korzystali ze sfałszowanych dokumentów. W przypadku próby zwolnienia takiego pracownika, szantażowali firmę ujawnieniem danych wrażliwych pozyskanych w trakcie pracy” – stwierdzono w opracowaniu.

Wątek Polski

Raport dotyczy praktycznie całego zachodniego świata. Na mapie krajów, gdzie wykryto działania północnokoreańskich pracowników IT, znajduje się m.in. Polska. Wskazano również dość egzotyczne państwa z azjatyckiego punktu widzenia, m.in. Ugandę czy Kostarykę.

Czym zajmowali się Koreańczycy?

Według Mandiant, północnokoreańscy pracownicy brytyjskich organizacji zajmowali się tworzeniem stron internetowych, rozwojem botów, tworzeniem systemów zarządzania treścią (CMS) oraz technologią blockchain, co „wskazuje na szeroki zakres wiedzy technicznej, obejmujący zarówno tradycyjne tworzenie stron, jak i zaawansowane zastosowania blockchain oraz sztucznej inteligencji”.

Koreańczycy z Północy posługiwali się tożsamościami pochodzącymi m.in. z Włoch, Japonii, Malezji, Singapuru, Ukrainy, USA i Wietnamu. Stwierdzono również, że były one mieszanką prawdziwych i zmyślonych osób.

Jako zagrożenie wymieniono frywolne wykorzystywanie własnych urządzeń w pracy (BYOD, ang. bring your own device).

„Celem stają się firmy angażujące się w innowacyjne inicjatywy lub mogące posiadać wartościowe dla koreańskiego reżimu informacje. Początkowo atakowane były tylko mniejsze firmy, lecz obecnie problem dotyczy także większych firm. Głównymi motywacjami atakujących jest szpiegostwo oraz pozyskanie środków na finansowanie reżimu” – kwituje CERT Orange.

Nie tylko pracownicy

Raport Sekoia z 31 marca br. obszernie porusza tematykę północnokoreańskich cyberprzestępców. Wymieniono w nim m.in. fałszywe oferty pracy grupy Lazarus. Po wypełnianiu formularza osoby były namawiane do uruchomienia konkretnego polecenia, które miało „umożliwić dostęp do kamery i mikrofonu”, a finalnie prowadziło do uruchomienia złośliwego oprogramowania. Polecenie wykonywało się zarówno na Windowsach i MacOS.

Powyższe przykłady pokazują, że Korea Północna nieustannie przeprowadza rozmaite kampanie w cyberprzestrzeni. O fałszywych północnokoreańskich rekrutacjach informowaliśmy w kwietniu ubiegłego roku – wówczas kampania opierała się na plikach ISO i podatności w Windowsie.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].