Noord-Koreaanse IT-werknemers die onder een valse identiteit aan de slag gaan bij westerse bedrijven, stelen niet alleen intellectueel eigendom, maar eisen ook losgeld om het niet te lekken, wat een nieuwe wending aan hun financieel gemotiveerde aanvallen markeert.
“In sommige gevallen eisten frauduleuze werknemers losgeld van hun voormalige werkgevers nadat ze toegang hadden gekregen tot insiders, een tactiek die niet werd toegepast in eerdere plannen”, zei Secureworks Counter Threat Unit (CTU) in een analyse die deze week werd gepubliceerd. “In één geval exfiltreerde een aannemer bedrijfseigen gegevens vrijwel onmiddellijk nadat hij medio 2024 in dienst was getreden.”
De activiteit, zo voegde het cyberbeveiligingsbedrijf toe, vertoont overeenkomsten met een dreigingsgroep die het volgt als Nickel Tapestry, ook bekend als Famous Chollima en UNC5267.
Het frauduleuze IT-werknemersplan, georkestreerd met de bedoeling om de strategische en financiële belangen van Noord-Korea te bevorderen, verwijst naar een insider-bedreigingsoperatie die inhoudt dat bedrijven in het Westen worden geïnfiltreerd om illegale inkomsten te genereren voor het door sancties getroffen land.
Deze Noord-Koreaanse werknemers worden doorgaans naar landen als China en Rusland gestuurd, van waaruit ze zich voordoen als freelancers die op zoek zijn naar potentiële vacatures. Als een andere optie is ook gebleken dat ze de identiteit stelen van legitieme individuen die in de VS wonen om dezelfde doelen te bereiken.
Het is ook bekend dat ze verzoeken om wijzigingen in de afleveradressen van door het bedrijf uitgegeven laptops, en deze vaak doorsturen naar tussenpersonen op laptopboerderijen, die voor hun inspanningen worden gecompenseerd door in het buitenland gevestigde facilitators en verantwoordelijk zijn voor het installeren van externe desktopsoftware waarmee de Noord-Koreaanse acteurs om verbinding te maken met de computers.
Bovendien kunnen meerdere contractanten uiteindelijk door hetzelfde bedrijf worden ingehuurd, of kan één persoon meerdere persona’s aannemen.
Secureworks zei dat het ook gevallen heeft waargenomen waarin de nep-aannemers toestemming vroegen om hun eigen persoonlijke laptops te gebruiken en er zelfs voor zorgden dat organisaties de verzending van de laptop volledig annuleerden omdat ze het afleveradres hadden gewijzigd terwijl deze onderweg was.
“Dit gedrag sluit aan bij het ambacht van Nickel Tapestry om bedrijfslaptops te vermijden, waardoor mogelijk de behoefte aan een lokale facilitator wordt geëlimineerd en de toegang tot forensisch bewijsmateriaal wordt beperkt”, aldus het rapport. “Dankzij deze tactiek kunnen de aannemers hun persoonlijke laptops gebruiken om op afstand toegang te krijgen tot het netwerk van de organisatie.”
Als teken dat de bedreigingsactoren evolueren en hun activiteiten naar een hoger niveau tillen, is er bewijs aan het licht gekomen dat aantoont hoe een contractant wiens dienstverband door een niet bij naam genoemd bedrijf werd beëindigd wegens slechte prestaties, zijn toevlucht nam tot het verzenden van afpersings-e-mails, inclusief ZIP-bijlagen met bewijs van diefstal. gegevens.
“Deze verschuiving verandert aanzienlijk het risicoprofiel dat gepaard gaat met het onbedoeld inhuren van Noord-Koreaanse IT-medewerkers”, zegt Rafe Pilling, directeur Threat Intelligence bij Secureworks CTU, in een verklaring. “Ze zijn niet langer alleen op zoek naar een stabiel salaris, ze zijn op zoek naar hogere bedragen, sneller, door middel van gegevensdiefstal en afpersing, vanuit de verdediging van het bedrijf.”
Om de dreiging het hoofd te bieden, is er bij organisaties op aangedrongen waakzaam te zijn tijdens het rekruteringsproces, inclusief het uitvoeren van grondige identiteitscontroles, het uitvoeren van persoonlijke of video-interviews, en op hun hoede te zijn voor pogingen om bedrijfs-IT-apparatuur om te leiden die naar de aangegeven contractanten is gestuurd. thuisadres, het doorsturen van loonstrookjes naar geldoverboekingsdiensten en toegang tot het bedrijfsnetwerk met ongeautoriseerde tools voor externe toegang.
“Deze escalatie en het gedrag dat in het FBI-alarm wordt vermeld, tonen de berekende aard van deze plannen aan”, zei Secureworks CTU, wijzend op het verdachte financiële gedrag van de werknemers en hun pogingen om te voorkomen dat video tijdens gesprekken wordt ingeschakeld.
“De opkomst van losgeldeisen markeert een opmerkelijke afwijking van eerdere Nickel Tapestry-plannen. De activiteiten die voorafgaand aan de afpersing werden waargenomen, komen echter overeen met eerdere plannen waarbij Noord-Koreaanse arbeiders betrokken waren.”
