Šiaurės Korėjos įsilaužėliai naudoja netikras šifravimo įmones ir darbo pokalbius kenkėjiškoms programoms platinti
Su Šiaurės Korėja susiję įsilaužėliai apsimeta teisėtomis kriptovaliutų konsultacinėmis įmonėmis, platinančiomis kenkėjiškas programas per netikrus darbo pokalbius. Sudėtinga kampanija, kurią atskleidė kibernetinio saugumo ekspertai, parodo, kiek grėsmių subjektai yra pasirengę eiti, kad įsiskverbtų į sistemas ir pavogtų neskelbtiną informaciją.
Table of Contents
Netikros įmonės, tikros grėsmės
Remiantis išsamia „Silent Push“ analize, vadinamosios „Užkrečiamojo interviu“ kampanijos grėsmės veikėjai įsteigė tris fiktyviąsias įmones:
- BlockNovas LLC (blocknovas[.]com)
- Angeloper agentūra (angeloper[.]com)
- „ SoftGlide LLC“ („softglide[.]co“)
Šios netikros įmonės privilioja nieko neįtariančias aukas – daugiausia IT ir kriptovaliutų specialistus – į netikrus samdymo procesus. Prisidengiant kodavimo užduotimis ar techniniais pokalbiais kandidatai yra apgaudinėjami atsisiųsti kenkėjiškų programų, užmaskuotų kaip teisėta darbo medžiaga.
Šioje operacijoje įdiegtos kenkėjiškų programų šeimos yra „BeaverTail“, „InvisibleFerret“ ir „OtterCookie“ – kiekviena kruopščiai sukurta, kad pakenktų įvairioms sistemoms, įskaitant „Windows“, „Linux“ ir „MacOS“.
Apgaulės tinklas
Operacija „Contagious Interview“, kurią kibernetinio saugumo įmonės taip pat seka tokiais pavadinimais kaip „DeceptiveDevelopment“ ir „Famous Chollima“, yra dramatiškas Šiaurės Korėjos kibernetinio šnipinėjimo taktikos eskalavimas.
Įsilaužėliai neapsiriboja suklastotais tinklalapiais. Jie sukūrė nesąžiningus profilius tokiose socialinės žiniasklaidos platformose kaip „Facebook“, „LinkedIn“, „Pinterest“, „X“ (anksčiau „Twitter“), „Medium“, „GitHub“ ir „GitLab“, kad savo veiklai būtų suteikta teisėtumo. „Silent Push“ pažymėjo, kad „BlockNovas“ netgi sukūrė visą darbuotojų komandą savo svetainei, melagingai teigdamas, kad turi daugiau nei 12 metų patirtį, nepaisant to, kad įmonė buvo naujai įregistruota.
Ši apgaulė baigiasi kenkėjiškų programų diegimu. Įdarbinimo proceso aukos netyčia atsisiunčia „BeaverTail“, „JavaScript“ vagystę ir įkroviklį, kuri vėliau įdiegia „InvisibleFerret“ – užpakalines duris, galinčias išlaikyti atkaklumą ir išfiltruoti neskelbtinus duomenis. Kai kurios infekcijos taip pat pašalina antrinį kenkėjiškų programų įrankį, vadinamą OtterCookie.
Infrastruktūra ir tikslai
„BlockNovas“ neapsiribojo tik svetainėmis ir netikrais profiliais. „Silent Push“ tyrėjai viename iš „BlockNovas“ subdomenų aptiko „būsenos informacijos suvestinę“, naudojamą keliems atakose dalyvaujantiems domenams stebėti. Be to, buvo nustatyta, kad mail.blocknovas[.]com talpina Hashtopolis – atvirojo kodo slaptažodžių nulaužimo valdymo įrankį.
Netikros verbavimo akcijos jau pareikalavo aukų. Vienu patvirtintu atveju nuo 2024 m. rugsėjo mėn. kūrėjo MetaMask kriptovaliutos piniginė buvo pažeista.
Kitas nerimą keliantis atradimas buvo susijęs su svetaine, pavadinta Kryptoneer (priglobta attisscmo[.]com), siūlančią kriptovaliutų piniginių prijungimo paslaugas – tokiu žingsniu galbūt buvo siekiama nukreipti blokų grandinės naudotojus, ypač tuos, kurie yra prisijungę prie Sui blokų grandinės.
Nutraukimas ir tarptautinės pasekmės
Nuo 2025 m. balandžio 23 d. JAV teisėsaugos institucijos, įskaitant FTB, užgrobė BlockNovas domeną, nurodydamos jos vaidmenį platinant kenkėjiškas programas, prisidengiant netikromis darbo galimybėmis.
Be techninių išnaudojimų, mokslininkai pastebėjo, kad grėsmės veikėjai naudoja dirbtinio intelekto įrankius, tokius kaip „Remaker“, kad sukurtų tikroviškas netikras profilio nuotraukas ir padidintų jų netikrų įmonių patikimumą. Taip pat yra įrodymų, rodančių ryšius su Rusijos infrastruktūra: tyrėjai atskleidė operaciją iki Rusijos IP diapazonų, užmaskuotų VPN, tarpinių serverių ir VPS serverių netoli Šiaurės Korėjos ir Rusijos sienos.
Atsižvelgiant į šiuos ryšius, ekspertai mano, kad Šiaurės Korėjos ir Rusijos kibernetiniai nusikaltėliai gali bendradarbiauti arba bent jau dalytis infrastruktūra, nors patvirtinimas tebėra žemas ar vidutinis.
Didesnis paveikslas: Wagemole ir GenAI įrankiai
Užkrečiamojo interviu kampanija yra tik vienas platesnės Šiaurės Korėjos strategijos aspektų. Kita taktika, žinoma kaip Wagemole, apima Šiaurės Korėjos darbuotojus, naudojančius dirbtinio intelekto sukurtas asmenybes, kad užsitikrintų teisėtą darbą užsienio įmonėse. Atlyginimai už šiuos darbus vėliau grąžinami į režimą.
Kibernetinio saugumo įmonė „Okta“ perspėjo, kad Šiaurės Korėjos tarpininkai vis dažniau naudoja „Generative AI“ (GenAI) įrankius tvarkaraščiams tvarkyti, pokalbiams perrašyti ir interviu versti realiuoju laiku, todėl jų įsiskverbimo pastangas sunkiau aptikti ir sutrikdyti.
Padidėjęs budrumas yra labai svarbus
Ši kampanija pabrėžia didėjantį valstybės remiamų kibernetinių atakų sudėtingumą ir naujovišką socialinės inžinerijos naudojimą. Technikos darbuotojai, ypač dirbantys kriptovaliutų ir finansų sektoriuose, turi išlikti itin budrūs, kai kreipiasi dėl darbo galimybių, ypač jei įdarbinimo procesas atrodo skubotas, neįprastas arba susijęs su nepažįstamų failų atsisiuntimu.
Organizacijos turi sustiprinti pareiškėjų patikros procesus ir kibernetinio saugumo apsaugą. Šiuo metu, kai iš pažiūros nekaltas darbo pasiūlymas gali atverti duris niokojančioms kenkėjiškų programų infekcijoms, atsargumas nebėra neprivalomas – tai būtina.
