Отчет CrowdStrike 2024 раскрывает тайную работу Северной Кореи в американских технологических компаниях

В отчете CrowdStrike «Охота за угрозами 2024» рассказывается о том, как противник из Северной Кореи FAMOUS CHOLLIMA использует поддельные и украденные документы, позволяющие злоумышленникам из национальных государств устраиваться на работу в качестве удаленного ИТ-персонала, осуществлять утечку данных и незамеченный шпионаж.FAMOUS CHOLLIMA, связанная с элитными северокорейскими организациями Reconnaissance General Bureau (RGB) и Bureau 75, специализирующимися на кибервойнах, специализируется на масштабных инсайдерских угрозах, незаконно получая внештатную работу или работу, эквивалентную полной занятости (FTE), чтобы получать зарплату, направляемую в Северную Корею для оплаты своих программ вооружений, и одновременно занимаясь непрерывным шпионажем.

«Наиболее тревожным аспектом кампании FAMOUS CHOLLIMA является масштабность этой инсайдерской угрозы. CrowdStrike уведомила более сотни жертв, в основном из американских компаний, которые неосознанно наняли северокорейских оперативников», - сообщил VentureBeat Адам Мейерс, глава отдела по борьбе с противниками CrowdStrike.

«Эти люди проникают в организации, особенно в технологическом секторе, не для того, чтобы внести свой вклад, а для того, чтобы направить украденные средства непосредственно в программу вооружений режима», - сказал Мейерс.

Северная Корея воспользовалась возможностью использовать доверие.

«Этот всплеск активности северокорейских схем удаленной работы подчеркивает, как противники используют доверие к нашей среде удаленной работы, - отмечает Мейерс в недавнем интервью VentureBeat.

Зная, что корпорации стандартизировали удаленную работу своих айтишников и что общественное мнение в США, Европе, Австралии и на азиатском континенте благосклонно к удаленной работе, Северная Корея увидела возможность использовать отсутствие проверки и безопасности в своих интересах».

Систематически выбирая более 100 компаний для проникновения в них с помощью вредоносных программ.Многие до сих пор недооценивают киберпотенциал Северной Кореи, считая ее «королевством отшельников». Но они инвестируют в киберталанты с конца 1990-х годов, уделяя стратегическое внимание образованию в области НТИМ с самого раннего возраста. Недавняя изощренная кампания показывает, что они не просто угроза, а изощренный противник, к которому мы должны относиться серьезно. Мы только нащупываем поверхность их операций», - сказал Майерс.

Начиная с 2023 года, FAMOUS CHOLLIMA первоначально атаковала 30 американских компаний из аэрокосмической, оборонной, розничной и технологической отраслей, выдавая себя за жителей США, претендующих на удаленные ИТ-позиции. После приема на работу злоумышленники выполняли минимальные задания, связанные с их должностными обязанностями, и пытались вывести данные с помощью Git, SharePoint и OneDrive.

Вредоносные инсайдеры также быстро устанавливали инструменты удаленного мониторинга и управления (RMM), включая RustDesk, AnyDesk, TinyPilot, VS Code Dev Tunnels и Google Chrome Remote Desktop, чтобы поддерживать постоянную работу во взломанной сети. После установки этих инструментов они могли использовать несколько IP-адресов для подключения к системе жертвы, создавая видимость легитимности и вписываясь в обычную сетевую активность. После этого вредоносные инсайдеры могли выполнять команды, создавать плацдармы и перемещаться по сети, не вызывая немедленной тревоги.