Egy kockázatitőke-elemző, egy nagy cég munkaerő-toborzója és egy frissen felvett informatikai szakember. Látszólag nem sok közös van a munkakörökben és az adott személyekben, a kiberbiztonsági szakemberek azonban arra figyelmeztetnek, hogy ez nem így van. Mindhárom pozícióban találtak olyan csalót, aki valójában az észak-koreai rezsimnek dolgozott.

A fenti példa a szokásos éves amerikai kiberkonferencián, a Cyberwarconon hangzott el – számolt be róla a TechCrunch. A szakemberek arra figyelmeztettek, hogy az észak-koreai hackerek folyamatosan azzal próbálkoznak, hogy másnak adják ki magukat, mint akik valójában, így érve el, hogy felvegyék őket a különböző multinacionális cégek egy-egy pozícióra. Miután ez megtörtént, pénzt és olyan információkat lopnak a vállalattól, amelyeket eladva tovább tudja folytatni fegyverprogramját a rezsim.

A módszerrel az elmúlt egy évtizedben több milliárd dollárnyi kriptovalutát loptak el, majd váltották azt valódi pénzre, hogy Észak-Korea tovább tudja fejleszteni nukleáris fegyvereit – elkerülve a nemzetközi szankciókat.

James Elliott, a Microsoft kiberbiztonsági kutatója szerint az észak-koreai hackerek már több száz szervezetbe szivárogtak be a világon az IT-pozíciókon keresztül. A módszerek lehetnek ugyan eltérőek, de minden esetben ugyanaz a cél: kriptovalutát lopni. A szakember szerint mindezt ráadásul viszonylagos nyugalomban tehetik meg, mert a lebukás nem sok következménnyel jár – az országot már így is komoly szankciók sújtják.

A Ruby Sleet nevű hackercsoport tagjai például a repülőgép- és védelmi vállalatokhoz szivárogtak be, hogy onnan olyan ipari titkokat lopjanak, amelyek segítik a fegyvereik és navigációs rendszereik továbbfejlesztését.

A Microsoft szerint egy másik hackercsoport, a Sapphire Sleet tagjai kockázatitőke-elemzőnek és a munkaerőt toborzó szakembernek adták ki magukat, ám a cél ebben az esetben is a kriptovaluta ellopása volt. Az áldozatokkal egy online megbeszélést fixáltak le, majd arra vették rá őket, hogy végezzenek el egy készségfelmérést. Ehhez le kellett tölteni egy programot a gépre, ami természetesen fertőzött volt, így hozzáfértek a számítógépen lévő anyagokhoz, többek között a kriptovalutát tartalmazó pénztárcához is. A Microsoft becslése szerint hat hónap alatt legalább 10 millió dollárnyi kriptovalutát loptak el így.

A legnagyobb fenyegetést azonban a kiberbiztonsági szakemberek szerint azok az észak-koreai hackerek jelentik, akik az IT-szektorban helyezkednek el a kamu identitásukkal. Ezzel nemcsak a céges titkokat lopják el, de meg is zsarolják a cégeket, hogy közzéteszik az információkat, ha nem fizet nekik a vállalat.

A hackerek rendszerint egy kamu LinkedIn- és GitHub-profilt hoznak létre, hogy megteremtsék a szakmai hitelességüket. Ezután az online interjú során az arcukat és a hangjukat megváltoztató mesterséges intelligenciát használnak, hogy ne derüljön ki, ki ül valójában a számítógép másik oldalán. Miután felveszi az adott hackert egy cég, majd elküldi neki a távmunka elvégzéséhez adott laptopot a megadott amerikai címre, azt a hacker egy segítője veszi át, aki egy ilyen eszközökből készített farmot üzemeltet.

A készülékekhez távoli hozzáférést kapnak a hackerek, így elrejtik, hogy valójában kik ők és honnan dolgoznak. A felderítésüket nehezíti, hogy nemcsak Észak-Koreából, de Oroszországból és Kínából is dolgoznak.

Elliot szerint korábban egy komplett forgatókönyvhöz sikerült hozzájutnia, amiben tételesen le volt írva, a hackernek mikor mit kell tennie, hogy álcázza magát. Ugyanakkor volt olyan kiberbűnöző, akit azzal sikerült lebuktatni, hogy alaposabban utánanéztek a személyazonosságának, sokszor ugyanis nem tökéletesen építik fel a karaktert a hackerek.

A szakemberek ugyanakkor arra figyelmeztetnek: az észak-koreai rezsim által támogatott hackerek nagyon komoly problémát jelentenek, mivel nagyon nehéz őket kiszűrni.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.