美国联邦调查局(FBI)今天警告说,朝鲜 IT 工作人员正在滥用他们的访问权限,窃取源代码并敲诈被骗雇用他们的美国公司。该安全部门提醒美国和全球的公共和私营部门组织,朝鲜的 IT 军队为网络犯罪活动提供便利,并要求赎金,否则威胁将泄露从雇主网络中窃取的敏感数据。
"朝鲜 IT 员工将公司代码库(如 GitHub)复制到自己的用户配置文件和个人云账户中。 虽然这种行为在软件开发人员中并不少见,但它代表着大规模的公司代码盗窃风险,"联邦调查局说。"朝鲜 IT 工作人员可能会试图获取敏感的公司凭据和会话 cookie,以便从非公司设备启动工作会话,并获得进一步的入侵机会"。
为降低这些风险,联邦调查局建议各公司采用最小特权原则,禁用本地管理员账户并限制远程桌面应用程序的权限。 各组织还应监控异常网络流量,特别是远程连接,因为朝鲜 IT 人员经常在短时间内从不同的 IP 地址登录同一账户。
它还建议审查网络日志和浏览器会话,以发现通过共享驱动器、云账户和私人代码库进行数据外泄的可能性。
为加强远程招聘流程,公司应在面试和入职过程中核实身份,并交叉检查人力资源系统中是否有简历内容或联系方式相似的申请人。
众所周知,朝鲜 IT 人员在面试时会使用人工智能和换脸技术来隐藏身份,因此人力资源人员和招聘经理也必须意识到相关风险。 此外,在入职过程中监控支付平台和联系信息的变化也至关重要,因为这些人经常会在简历中重复使用电子邮件地址和电话号码。
其他有助于发现试图绕过招聘检查的朝鲜 IT 员工的措施包括:
核实第三方人员招聘公司是否采取了严格的招聘措施,并对这些措施进行例行审核、
使用"软性"面试问题,询问应聘者有关其工作地点或教育背景的具体细节(北朝鲜 IT 员工经常声称曾在非美国教育机构就读)、
检查求职者简历中的错别字和不常见的术语、
尽可能亲自完成招聘和入职流程。
在今天的公共服务公告之前,美国联邦调查局多年来就朝鲜的庞大 IT 员工大军一再发出警告,这些员工隐藏真实身份,在美国和世界各地的数百家公司工作;
他们也被称为"IT战士",通过美国的笔记本电脑农场连接到企业网络,冒充美国的 IT 员工 。 8 月份,美国执法部门捣毁了纳什维尔的一个笔记本农场 ,5 月份又捣毁了亚利桑那州的一个笔记本农场 。
在被发现并解雇后,卧底的朝鲜 IT 员工利用内幕消息威胁泄露他们从公司系统中窃取的敏感信息。
"我们越来越多地看到朝鲜 IT 人员潜入大型企业窃取敏感数据,并对这些企业实施勒索威胁。" Google云的曼迪安特首席分析师迈克尔-巴恩哈特(Michael Barnhart)告诉 BleepingComputer:"他们将业务扩展到欧洲以复制他们的成功也不足为奇,因为这更容易诱骗那些不熟悉他们伎俩的公民。"
"朝鲜的 IT 工作人员也在利用一些公司,这些公司已经开始为其远程员工使用虚拟桌面基础设施(VDI),而不是向他们发送实体笔记本电脑。 虽然这对公司来说更具成本效益,但威胁行为者却更容易隐藏其恶意活动"。
美国国务院现在提供数百万美元以换取有助于破坏多家朝鲜幌子公司活动的信息。 这些公司通过非法的远程 IT 工作计划为朝鲜政权创造收入。
近年来,韩国和日本政府机构也发布了关于北朝鲜人欺骗私营公司并以远程 IT 工人身份获得就业的警报。
在上周发表的一份联合声明中,美国、韩国和日本透露,朝鲜国家支持的黑客组织在 2024 年期间的多起加密劫案中窃取了价值超过 6.59 亿美元的加密货币。
今天,美国司法部还起诉了两名朝鲜国民和三名协助者,指控他们参与了一项多年的远程 IT 工作欺诈计划,在 2018 年 4 月至 2024 年 8 月期间,他们和嫌疑人(尚未受到指控)至少被六十四家美国公司雇佣。
