" Мошеннические технические специалисты, связанные с Северной Кореей, расширяют свои операции по проникновению в блокчейн-компании за пределами США после усиленного контроля со стороны властей, и некоторые из них проникли в британские криптовалютные проекты, сообщает Google.
Советник Google Threat Intelligence Group (GTIG) Джейми Колльер заявил в отчете от 2 апреля, что, хотя США по-прежнему являются ключевой целью, возросшая осведомленность и проблемы с проверкой права на работу вынудили северокорейских ИТ-специалистов искать работу в неамериканских компаниях.
«В ответ на возросшую осведомленность об угрозе в Соединенных Штатах они создали глобальную экосистему мошеннических персон для повышения оперативной гибкости», — сказал Колльер.
«В сочетании с обнаружением посредников в Великобритании это говорит о быстром формировании глобальной инфраструктуры и сети поддержки, которая обеспечивает их непрерывную работу», — добавил он.
Северокорейские специалисты по технологиям расширили свое влияние на фоне репрессий со стороны США. Источник: Группа по анализу угроз Google
Согласно Коллиеру, связанные с Северной Кореей специалисты внедряются в проекты, охватывающие традиционную веб-разработку и передовые приложения на основе блокчейна, такие как проекты, связанные с разработкой смарт-контрактов Solana и Anchor.
Также было обнаружено, что в другом проекте по созданию рынка труда на основе блокчейна и веб-приложения на основе искусственного интеллекта, использующего технологии блокчейна, задействованы северокорейские специалисты.
«Эти лица выдают себя за законных удаленных работников, чтобы проникнуть в компании и получать доход для режима», — сказал Коллиер.
«Это подвергает организации, нанимающие ИТ-специалистов из КНДР (Корейской Народно-Демократической Республики), риску шпионажа, кражи данных и сбоев», — добавил он.
Северная Корея ищет работу в сфере технологий в Европе
Коллиер говорит, что GTIG выявила заметный акцент на Европе, при этом один работник использовал не менее 12 персон по всей Европе, а другие использовали резюме, в которых были указаны степени Белградского университета в Сербии и места жительства в Словакии.
Отдельные расследования GTIG обнаружили персоны, ищущие работу в Германии и Португалии, учетные данные пользователей европейских сайтов по трудоустройству, инструкции по навигации по европейским сайтам по трудоустройству и брокера, специализирующегося на поддельных паспортах.
В то же время, с конца октября северокорейские работники увеличили объем попыток вымогательства и занялись более крупными организациями, что, по мнению GTIG, связано с тем, что они испытывают давление, чтобы сохранить потоки доходов на фоне репрессий в США.
«В этих инцидентах недавно уволенные ИТ-работники угрожали опубликовать конфиденциальные данные своих бывших работодателей или предоставить их конкуренту. Эти данные включали конфиденциальные данные и исходный код внутренних проектов», — сказал Коллиер.
В январе Министерство юстиции США предъявило обвинение двум гражданам Северной Кореи в участии в мошеннической схеме работы в сфере ИТ, в которой участвовало не менее 64 американских компаний с апреля 2018 года по август 2024 года.
Управление по контролю за иностранными активами Министерства финансов США также ввело санкции против компаний, обвиняемых в том, что они являются прикрытием для Северной Кореи и получают доход от схем удаленной работы в сфере ИТ.
Основатели криптовалют также сообщают об увеличении активности северокорейских хакеров, и по крайней мере три основателя сообщили 13 марта, что они пресекли попытки кражи конфиденциальных данных с помощью поддельных звонков Zoom.
«У вас возникли проблемы со звуком во время звонка Zoom? Это не венчурный капиталист, это северокорейские хакеры. К счастью, этот основатель понял, что происходит.
Звонок начинается с нескольких «венчурных капиталистов». Они отправляют сообщения в чате о том, что не слышат ваш звук или предполагают, что возникла проблема, из-за которой вы их не слышите, и показывают стоковое видео скучающего венчурного капитала.
Если бы у цели было такое желание, следующим шагом было бы направление в новую комнату Zoom. Это поддельная ссылка, которая инструктирует цель установить патч для исправления своего аудио/видео», — описывает схему эксперт по безопасности.
В августе исследователь блокчейна ZachXBT заявил, что раскрыл сложную сеть северокорейских разработчиков, зарабатывающих 500 000 долларов в месяц, работая на «устоявшиеся» криптопроекты.
