Rozsah problému je mnohem větší, než se myslelo
Za poslední roky se tisíce severokorejských pracovníků pokusily infiltrovat západní firmy. Společnost Okta, která se zabývá správou identit, ve svém výzkumu sledovala více než 130 identit spojených s tímto schématem. Tito lidé absolvovali přes 6 500 úvodních pohovorů ve více než 5 000 různých společnostech.
Nejde přitom jen o velké technologické firmy. Téměř polovina cílených společností pochází z jiných odvětví než IT. Podvodníci se hlásí na pozice ve financích, zdravotnictví, veřejné správě i v profesionálních službách.
Mohlo by vás zajímat
Severokorejští hackeři měli u Američanky doma „laptopovou farmu“: miliony šly na jaderné zbraně
Bezpečnost
Zdravotnictví v hledáčku
Výzkumníci zaznamenali překvapivě vysoký počet pokusů proniknout do zdravotnických a medicínských organizací. Jen letos proběhlo asi 85 pohovorů s podezřelými uchazeči v tomto sektoru. Většinou jde o pozice v oblasti vývoje mobilních aplikací, zákaznických systémů a elektronické evidence pacientů.
Tato oblast je pro útočníky mimořádně atraktivní. Zdravotnické organizace disponují citlivými osobními údaji pacientů, klinickými daty a komplexní infrastrukturou. V kombinaci s tím, že nemocnice jsou často terčem ransomwarových útoků, představuje každý neověřený zaměstnanec potenciální bezpečnostní riziko.
Od poloviny roku 2023 výzkumníci zaznamenali výrazný nárůst pokusů získat práci ve firmách zabývajících se umělou inteligencí. Letos už proběhlo 50 takových pohovorů. Útočníky přitahují jak čisté AI společnosti, tak firmy, které umělou inteligenci integrují do svých produktů. Důvod je jasný. Tyto firmy pracují s citlivým duševním vlastnictvím, trénovacími daty modelů a proprietárními algoritmy. Pro režim podporovaný státem jde o lákavý cíl.
Mohlo by vás zajímat
Finance a širší záběr
Také finanční sektor nebyl samozřejmě opomenut. Podvodníci cílí na tradiční banky, pojišťovny, ale také na fintechové společnosti a kryptoměnové organizace. Zajímavé je, že už nejdou jen po pozicích softwarových vývojářů. Rozšířili se i na back-office pozice v oblasti mezd a účetnictví.
To naznačuje, že severokorejské jednotky se učí a přizpůsobují. Pochopily, že existují i jiné typy práce, které nabízejí podobné příležitosti a které lze vykonávat na dálku s minimální kontrolou.
Jak to funguje
Severokorejští pracovníci spoléhají na pomoc placených kompliců v USA. Ti jim poskytují americkou adresu, kam mohou firmy posílat pracovní notebooky. Zařizují americké bankovní účty, vytvářejí profily na pracovních portálech a někdy se za ně dokonce účastní videohovorů jménem.
FBI ve svém varování popisuje celou řadu služeb, které tito zprostředkovatelé poskytují. Například nastavují vzdálený přístup k firemním počítačům, přeposílají notebooky do zahraničí nebo vytvářejí fiktivní firmy nabízející dočasné technické pracovníky.
Mohlo by vás zajímat
Primárním cílem jsou peníze, ale hrozí i krádež dat
Hlavním důvodem celého schématu je vydělávání peněz pro severokorejský režim, který čelí mezinárodním sankcím. Výplaty zaměstnanců tečou přímo do Pchjongjangu. Existují ale i případy, kdy zaměstnanci ukradli citlivá data a následně se pokusili o vydírání.
Některé případy dokonce zahrnují ransomwarové útoky. To znamená, že přístup severokorejských pracovníků do firemních sítí může sloužit nejen k příjmu, ale i k špionáži a narušování činnosti organizací.
Ačkoliv v 73 procentech cílí Severokorejci na společnosti z USA, asi čtvrtina pokusů směřuje do jiných zemí. Hlavně v Evropě roste počet případů, kdy se podvodníci hlásí na volná místa. Experti se shodují, že sledovaných 130 identit představuje jen špičku ledovce. Podle bezpečnostních firem už téměř každý bezpečnostní ředitel velké společnosti řešil problém se severokorejskými pracovníky.
Jak se firmy mohou chránit
FBI doporučuje řadu opatření. Klíčové je pečlivě ověřovat identifikační doklady, kontrolovat předchozí zaměstnání přímo u bývalých zaměstnavatelů a pokud možno vyžadovat osobní setkání nebo alespoň důkladné videohovory. Při videohovorech by měli personalisté požadovat, aby měl uchazeč zapnutou kameru a viditelné prostředí za sebou. Můžou ho také požádat, aby ukázal výhled z okna a odpověděl na otázky o aktuální lokalitě.
Důležité je také sledovat platební metody zaměstnanců. Podezřelé jsou účty se stejnými dokumenty nebo bankovními údaji, časté změny bankovních účtů nebo požadavky na platby v kryptoměnách.
Firmy by měly posílat pracovní vybavení výhradně na adresu uvedenou v dokladech zaměstnance. A rozhodně by neměly poskytovat přístup do systémů, dokud není dokončena bezpečnostní prověrka.
Situace ukazuje, že severokorejská hrozba se týká prakticky každého odvětví, které zaměstnává lidi na dálku. Útočníci se učí, zdokonalují své metody a rozšiřují záběr. Co začalo jako problém technologických firem, se stalo celosvětovou výzvou pro kybernetickou bezpečnost a ochranu dat.
Zdroj: FBI, Okta, The Register
6 foto