Западная компания подверглась кибератаке после того, как наняла на удалённую работу северокорейского хакера, который выдал себя за IT-специалиста. Организация, базирующаяся в Великобритании, США или Австралии, решила сохранить анонимность, но разрешила специалистам Secureworks опубликовать информацию об инциденте в целях повышения осведомлённости и предупреждения других компаний. Случай стал очередным в серии разоблачений северокорейских специалистов, работающих удаленно в западных фирмах.
По данным компании Secureworks, злоумышленник предоставил поддельные документы о трудовой истории и персональные данные. Получив доступ к корпоративной сети, специалист тайно скачивал конфиденциальную информацию на протяжении четырех месяцев работы, параллельно получая зарплату. По мнению исследователей, денежные средства перенаправлялись в Северную Корею через сложную систему отмывания денег для обхода западных санкций.
После увольнения за низкую производительность компания получила письма с требованием выкупа. Злоумышленник угрожал опубликовать или продать похищенные данные, если организация не выплатит шестизначную сумму в криптовалюте. Фирма не раскрыла, был ли выплачен выкуп.
С 2022 года власти и специалисты по кибербезопасности регулярно предупреждают об увеличении числа северокорейских работников, тайно проникающих в западные компании. США и Южная Корея обвиняют КНДР в направлении тысяч сотрудников на высокооплачиваемые удаленные должности для заработка денег в обход санкций.
По данным компании Mandiant, только в сентябре было выявлено, что десятки компаний из списка Fortune 100 случайно приняли на работу граждан Северной Кореи, действующих под чужими именами. Однако случаи, когда такие сотрудники используют своё положение для кибератак, всё ещё остаются редкостью.
Как отметил директор по киберугрозам компании Secureworks Рэйф Пиллинг, такой случай представляет собой серьёзную эскалацию риска. Если раньше северокорейские IT-специалисты стремились лишь получать стабильную зарплату, то теперь они нацелены на получение крупных сумм путем кражи данных и вымогательства.
Похожий инцидент произошел в июле, когда компания KnowBe4 обнаружила попытку взлома систем новым сотрудником из КНДР. Несмотря на проведенные собеседования, проверку данных и рекомендаций, злоумышленник попытался установить вредоносное программное обеспечение сразу после получения рабочего компьютера.