Hackerii nord-coreeni se infiltrează în companii europene, pretinzând că sunt programatori remote. Salariile ajung în conturile regimului de la Phenian

O rețea extinsă de hackeri nord-coreeni a început să vizeze companii din Europa printr-o metodă inedită: aceștia aplică pentru poziții de lucru remote în domeniul IT, pretinzând că sunt freelanceri, iar ulterior direcționează salariile către regimul de la Phenian. Mai grav, în unele cazuri, angajații fictivi instalează malware și lansează atacuri informatice asupra companiilor care i-au recrutat.

Informațiile au fost publicate într-o investigație recentă realizată de publicația britanică The Register și sunt confirmate de rapoarte similare emise anterior de Google și BBC News.

Cum operează rețeaua de “programatori remote” nord-coreeni

Potrivit sursei citate, hackerii nord-coreeni utilizează identități și CV-uri false pentru a obține contracte remote, în special în zona de software development și suport IT. Pentru a evita identificarea, aceștia:

• Refuză interviurile video, invocând probleme tehnice la camera web;

• Folosesc instrumente de inteligență artificială pentru a genera fotografii realiste sau chiar pentru a răspunde în timpul interviurilor;

• Solicită trimiterea echipamentelor de lucru (precum laptopuri) la adrese care nu corespund celor din aplicațiile oficiale;

• Acceptă simultan mai multe contracte pentru a maximiza veniturile trimise în Coreea de Nord.

În unele cazuri, facilitatorii locali mențin echipamentele conectate în rețea și le fac disponibile operativilor nord-coreeni prin VPN-uri, astfel încât activitatea să corespundă fusului orar european.

VIDEO Un manager HR povestește întâlnirea ciudată cu un candidat AI

Recent, o poveste devenită virală pe LinkedIn a scos la suprafață un fenomen care până de curând părea desprins dintr-un film SF: candidați AI, care încearcă să obțină un loc de muncă folosind identități false și deepfake-uri video. Ce s-a întâmplat? Bettina Liporazzi, recruiter în cadrul unei companii tech, a împărtășit o experiență bizară și tulburătoare.

De la job la atac cibernetic

Un caz prezentat de BBC în octombrie 2024 detaliază cum o companie europeană a devenit ținta unui atac ransomware, la scurt timp după ce a concediat un astfel de „angajat”. Hackerii au sustras date interne și au cerut o răscumpărare în criptomonede.

Potrivit Google, operațiunea a cunoscut o expansiune în Europa după ce autoritățile americane au implementat controale mai stricte în ceea ce privește verificarea identității și istoricul angajaților remote.

Recomandări pentru companii

Pentru a evita infiltrarea acestor actori statali în infrastructura IT, specialiștii în securitate citați de publicația americană The Register recomandă:

• Verificarea riguroasă a candidaților prin interviuri video și auditarea backgroundului profesional;

• Atenție la cererile suspecte privind livrarea echipamentelor sau configurarea accesului de la distanță;

• Monitorizarea constantă a activității angajaților remote și utilizarea tehnologiilor de detecție a comportamentului anormal;

• Implementarea unor politici clare de securitate cibernetică, inclusiv autentificare multi-factor și segmentarea rețelei.

Un nou tip de amenințare cibernetică

Acest tip de infiltrare reprezintă un risc major pentru organizațiile care angajează specialiști remote fără controale solide de securitate. În contextul globalizării pieței muncii și al creșterii cererii pentru dezvoltatori software, riscul ca astfel de entități să acceseze infrastructuri critice devine tot mai ridicat.

Potrivit rapoartelor internaționale, aceste operațiuni nu doar că aduc venituri importante regimului de la Phenian, dar pot servi și ca platformă de lansare pentru atacuri mai ample, țintind date sensibile sau proprietate intelectuală.