Jei jūsų įmonė per pastaruosius metus samdė nuotolinį IT darbuotoją, yra reali tikimybė, kad tai buvo ne tas, kuo prisistatė. Kibernetinio saugumo milžinės „CrowdStrike“ duomenimis, beveik pusę visų rankinio įsilaužimo atvejų JAV technologijų sektoriuje įvykdė Šiaurės Korėjos programišiai – ir jie tai daro prisidengdami jūsų kolegų tapatybėmis.
Naujausioje metinėje ataskaitoje „CrowdStrike“ analizuoja laikotarpį nuo 2025 m. balandžio iki 2026 m. gegužės. Per šiuos keturiolika mėnesių Šiaurės Korėjos hakerių grupė, kurią bendrovė vadina „Famous Chollima“, buvo atsakinga už 47 proc. visos valstybių remiamos veiklos, nukreiptos prieš technologijų sektorių.
Šie skaičiai skiriasi nuo įprastų ataskaitų tuo, kad fiksuoja vadinamąsias „rankas ant klaviatūros“ atakas – realių žmonių vykdomus įsilaužimus, o ne automatizuotus kenkėjiškus scenarijus, kuriuos tradicinės apsaugos priemonės dažnai pagauna. Ir būtent gyvas operatorius daro šias atakas tokias pavojingas.
// reklamaČia gali būti jūsų reklamaSusisiekite →Kaip atrodo šiuolaikinė šiaurės korėjiečių ataka
Mechanizmas stebėtinai paprastas ir kartu šiurpus. Programišiai naudoja dirbtinį intelektą, kad realiu laiku generuotų „deepfake“ vaizdus – jie sukuria netikrus veidus, kurie atrodo kaip tikri žmonės. Prie šių vaizdų pridedami suklastoti tapatybės dokumentai: pavogti pasai, vairuotojo pažymėjimai. Tokiu būdu jie prisistato amerikiečiais ar kitų šalių piliečiais ir sėkmingai įsidarbina JAV, Europos ir Azijos technologijų įmonėse.
Kai įdarbinami, jie ne tik vagia intelektinę nuosavybę ir jautrią korporatyvinę informaciją, bet ir gauna atlyginimą, kuris keliauja tiesiai į Šiaurės Korėjos režimo kišenę. Kim Jong Uno režimas jau daugelį metų yra itin izoliuotas Vakarų sankcijų ir negali naudotis tarptautine bankų sistema – todėl kriptovaliutos ir tampa pagrindiniu finansiniu ginklu.
Vien per 2025 metus Šiaurės Korėja pavogė apie 2 mlrd. dolerių kriptovaliutos. Kai programišiai galiausiai demaskuojami, jie dažnai grasina paviešinti pavogtą informaciją, jei bendrovė nesumokės išpirkos. Tai dvigubas smūgis: pirma vagystė, paskui šantažas.
„CrowdStrike“ pabrėžia, kad šios atakos paprastai prasideda nuo pavogtų slaptažodžių ar prisijungimo duomenų, po kurių sekamas piktnaudžiavimas teisėtais įrankiais, jau esančiais aukos sistemoje. Tai leidžia ilgą laiką išlaikyti nematomą prieigą.
Nuo atominio ginklo iki jūsų įmonės „Slack“ kanalo
Tai, kas vyksta, nėra atsitiktinis nusikalstamumas. Šiaurės Korėjos kibernetinės operacijos yra tiesioginė valstybės finansavimo strategijos dalis. Vakarų žvalgybos agentūros jau daugelį metų perspėja, kad Pchenjanas naudoja kibernetines vagystes branduolinio ginklo programai finansuoti – programai, kuri draudžiama tarptautine teise.
Šiame kontekste kriptovaliutų vagystės ir įmonių šnipinėjimas tampa ne pavieniais incidentais, o sistemos dalimi. Kai „Famous Chollima“ nusitaiko į „blockchain“ kūrėjus, jie ne tiesiog ieško lengvų pinigų – jie vykdo valstybinę užduotį.
Įdomu tai, kad šios atakos nėra vienkryptės. Kai programišiai įsidarbina įmonėje, jie veikia dviem frontais: vagia technologijas ir kartu generuoja legalias pajamas, kurios pervedamos režimui.
Dar vienas sluoksnis, kurį „CrowdStrike“ išryškina, yra tai, kad „Famous Chollima“ nėra vienintelė Šiaurės Korėjos kibernetinė grupuotė. Pchenjanas jau daugelį metų eksploatuoja kelias paralelines struktūras – „Lazarus Group“, „Kimsuky“, „Andariel“ – kurių kiekviena specializuojasi atskirose srityse. Tačiau „Famous Chollima“ išsiskiria būtent tuo, kad sugebėjo prasiskverbti į įdarbinimo procesą ir šnipinėjimą paversti dieniniu darbu.
Visa tai kelia rimtų klausimų įmonių personalo skyriams. Kiek nuodugniai tikrinami kandidatai, kurių niekada nematėte gyvai? Ar jūsų organizacijos įdarbinimo procese yra bent viena akimirka, kai reikalaujama fizinio dokumento, o ne skenuotos kopijos?
Ką tai reiškia paprastiems žmonėms
Kalbant apie paprastus žmones, atsakymas nėra raminantis. Jei dirbate technologijų įmonėje – nesvarbu, ar tai būtų programavimas, dizainas ar IT administravimas – atsiranda rizika, kad jūsų naujas kolega iš tiesų dirba Pchenjano režimui.
Investuotojams į kriptovaliutą verta žinoti, kad Šiaurės Korėja yra viena didžiausių grėsmių šiai rinkai – 2 mlrd. dolerių per vienerius metus yra suma, kuri veikia ir kainas, ir pasitikėjimą visa ekosistema.
O kas bus toliau? „CrowdStrike“ ataskaitoje nuskamba įspėjimas, kad šios atakos tik intensyvėja. Dirbtinis intelektas daro „deepfake“ technologijas vis prieinamesnes, o nuotolinis darbas po pandemijos tapo norma, o ne išimtimi. Šiaurės Korėjos programišiai rado tobulą derinį: technologija + socialinė inžinerija + geopolitinė izoliacija.
Dažnai užduodami klausimai
- Kaip atpažinti netikrą nuotolinį darbuotoją?
- Vienas iš pagrindinių signalų – kai kandidatas atsisako įjungti kamerą per vaizdo pokalbius arba vaizdas atrodo nenatūraliai stabilus. „CrowdStrike“ rekomenduoja naudoti kelių pakopų tapatybės patikrinimą, įskaitant gyvus pokalbius su keliais komandos nariais ir atidžiai tikrinti pateiktus dokumentus.
- Ar Lietuvos įmonės taip pat yra taikinys?
- Nors ataskaitoje minimos JAV, Europos ir Azijos įmonės, nėra priežasčių manyti, kad Lietuvos technologijų sektorius yra nepasiekiamas. Lietuvoje veikiančios tarptautinės IT įmonės ir startuoliai, samdantys nuotolinius darbuotojus, turėtų į tai atkreipti dėmesį.
