„Rekruterzy” z Korei Północnej złapani w pułapkę badaczy

4 grudnia br. na łamach any.run opublikowano artykuł Mauro Eldrichta i Heinera Garcii, dotyczący działań północnokoreańskiego Lazarusa. Cyberprzestępcy niezmiennie próbują uzyskać nieuprawniony dostęp do zachodnich firm. Koreańczycy z Północy próbują również podszywać się pod Polaków, co opisaliśmy kilka miesięcy temu na łamach naszego portalu.

Tym razem badaczom bezpieczeństwa udało się „złapać” północnokoreańskich operatorów w „sandboxa”, czyli do specjalnie przygotowanego  i odseparowanego środowiska (dosł. „piaskownica”), co pozwoliło im bezpiecznie zbadać zachowanie Lazarusa.

Chcesz pracować dla Pjongjangu?

W artykule wskazano dwie techniki, które pozwalają Lazarusowi przeprowadzać swoje operacje. Pierwszą z nich jest kradzież tożsamości inżynierów, zaś drugą było nakłanianie mniej doświadczonych osób do pracy dla nich.

„(Aktorzy zagrożeń z Korei Północnej – przy. red.) deklarują, że mają firmę liczącą około 10 programistów i potrzebują jedynie, aby poszkodowany inżynier uczestniczył w rozmowach kwalifikacyjnych w ich imieniu, otrzymując przy tym techniczne wsparcie, by je zdać. Jeśli zostanie zatrudniony, poszkodowany otrzymuje 35% miesięcznego wynagrodzenia, podczas gdy operatorzy wykonują faktyczną pracę za pośrednictwem „ghost developerów”. Inżynier musi zaakceptować ofertę, odebrać sprzęt firmowy (laptop) i pozwolić jednemu z „ghost developerów” zdalnie zalogować się, aby „pracować”. Do jego nielicznych obowiązków należy uczestniczenie w codziennych spotkaniach oraz okazjonalne odbieranie połączeń, podczas których powinien pokazać swoją twarz” – stwierdzono w artykule, przypominając jednocześnie o aresztowaniach osób uczestniczących w podobnym procederze, opisanych przez Reutersa.

Jak Lazarus chciał zdobyć tożsamość pracownika

Północnokoreańscy operatorzy kontaktowali się z potencjalnymi ofiarami za pomocą GitHuba – podstawowej platformy dla programistów. Wiadomości miały być masowo wysyłane do różnych kont.

Badacze stworzyli osobę „Andy’ego Jonesa”, który naiwnie przytakiwał na oferty rekrutera podczas rozmowy umówionej przez Calendly. Andy został zapytany m.in. o legalność pobytu na terenie USA. Następnie został poproszony o udostępnienie swojego laptopa przez 24 godziny, siedem dni w tygodniu, aby umożliwić „zdalną pracę” firmie swojego rozmówcy.  Następnie poprosił o poniższy zestaw informacji, który miał posłużyć do aplikowania do pracy za „Andy’ego”:

• dokument tożsamości;
• imię i nazwisko;
• status legalności pobytu (ang. visa status);
• adres zamieszkania;
• numer ubezpieczenia społecznego (SSN).

„Osoba prowadząca rozmowę wyjaśnia następnie, że będę prowadzić rozmowy kwalifikacyjne samodzielnie przy jego pełnym wsparciu, dodając, że pomoże mi założyć LinkedIn, przygotować CV oraz zaplanować rozmowy. Oferuje 20% udziału (w zyskach – przyp. red.), jeśli będę występował jako „frontman”, albo 10%, jeśli będzie używać tylko moich danych i laptopa, podczas gdy to on sam przeprowadzi rozmowy w moim imieniu” – przekazano w artykule.

Kolejnym krokiem była instalacja AnyDeska, który pozwala na zdalne przejęcie kontroli nad komputerem. Oczywiście nasz „Andy” nie zrobił tego na swoim urządzeniu – wykorzystał do tego specjalnego sandboxa z wiarygodną historią użytkowania, aby nabrać północnokoreańskich operatorów. Wirtualne maszyny działały na Windowsach 10 i 11.

Z racji na ewentualne zagrożenia, takie działanie oczywiście nie jest rekomendowane osobom, które nie zajmują się cyberbezpieczeństwem.

Jak „wpadli" Koreańczycy z północy

Jaka jest pierwsza rzecz, jaką zrobił Lazarus po połączeniu się przez AnyDeska? Bardzo logiczna, ponieważ uruchomili narzędzie diagnostyczne (DirectX Diagnostic Tool), aby upewnić się, że faktycznie uzyskali dostęp do prawdziwej maszyny. Gdyby połączenie miało miejsce w klasycznej maszynie wirtualnej, prawdopodobnie cyberprzestępcy dowiedzieliby się, że są śledzeni.

Bardzo ciekawe są kolejne kroki Lazarusa. Północnokoreańscy „rekruterzy” połączyli się z IP wskazującego na Wielką Brytanię oraz wykorzystanie VPN-a, zaś następnie:

• ustawili Google Chrome jako domyślną przeglądarkę;
• weszli na Gmaila;
• wyszukali: „gdzie jest moja lokalizacja" (dosł. „where is my location");
• rozwiązywali CAPTCHA – czasami przez godzinę.

Badacze wielokrotnie i umyślnie „crashowali” środowisko, odcinając północnokoreańskich cyberprzestępców od dostępu do maszyn, aby uniknąć faktycznego złośliwego działania. Pokazało to rolę odpowiedzialności badacza w takiej sytuacji – na „żywym organizmie”, pomimo pozornego zamknięcia w wirtualnym środowisku.

Finalnie, Lazarus zostawił notatkę dla „Andy’ego” z prośbą o więcej informacji:

Jak „bawił się" Lazarus, a jak badacze?

Ciekawie robi się w momencie, gdy cyberprzestępcy logują się na swoje konto. „Blaze (północnokoreański operator – przyp. red.) połączył się z laptopem i zalogował do swojego konta Google „Aaron S”, włączając funkcję synchronizacji oraz ładując do przeglądarki swój profil, preferencje i rozszerzenia. Dzięki temu po raz pierwszy mogliśmy zajrzeć do zestawu narzędzi Famous Chollima, który obejmuje wiele narzędzi AI, takich jak Simplify Copilot (do automatycznego wypełniania aplikacji o pracę), AiApply (do automatyzacji poszukiwania pracy), Final Round AI (które dostarcza odpowiedzi na pytania rekrutacyjne w czasie rzeczywistym) oraz Saved Prompts for GPT (do zapisywania promptów dla LLM), a także rozszerzenie OTP.ee (lub Authenticator.cc, generator jednorazowych kodów OTP) i — co ciekawe — Google Remote Desktop” – przekazano w artykule, dodając, że krótko po zalogowaniu się na Gmaila badacze… odcięli Lazarusa od dostępu do urządzenia, dzięki czemu mogli przeglądać ich maile. Następnie „Andy” otrzymał wiadomość z prośbą o zamknięcie gmaila, co obiecał uczynić kolejnego poranka.

Badacze finalnie „zlitowali się” nad Lazarusem, pozwalając im odkryć, że są w „sandboxie”. Warto jednak dodać, że proces dowiadywania się o tym został uwieczniony na nagraniu – tak jak wiele innych technik Lazarusa, co jest unikalnym materiałem wideo.

Co to dla nas oznacza?

Zachęcamy do zapoznania się z całością tego wyjątkowego raportu. Możemy się dowiedzieć m.in. o prawdopodobnie słabej komunikacji wewnętrznej wśród północnokoreańskich aktorów zagrożeń przy jednoczesnym współdzieleniu infrastruktury technicznej (np. poprzez korzystanie z VPN-a o tym samym IP).

Historia pokazuje nam rolę odpowiedniego wdrożenia KYC (ang. Know Your Customer). Wycieki zdjęć twarzy z dokumentami dotykały również Polaków, co opisaliśmy w marcu br.

„Jeśli jesteś pracodawcą, przeprowadzaj rygorystyczne kontrole KYC i dokładnie sprawdzaj kandydatów przy zatrudnianiu na nowe stanowiska. Szkol swoje zespoły rekrutacyjne, aby wcześnie wychwytywały sygnały ostrzegawcze i nie bój się dzielić tą historią z kandydatami — upewniając się, że rozumieją, iż „firma programistyczna”, która zaoferowała im coś zbyt dobrego, by było prawdziwe, może wcale nie być tak wiarygodna” – kwitują badacze.

Widzimy również, że w tym przypadku Lazarus nie wykorzystywał zaawansowanych technik do uzyskania dostępu do infrastruktury – po prostu logowali się za pomocą AnyDeska.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.