ชาวเกาหลีเหนือที่ปลอมตัวเป็นแรงงาน IT ได้ขู่กรรโชกนายจ้างของพวกเขาหลังจากที่ได้รับการเข้าถึงข้อมูลภายใน
บริษัทหลายร้อยแห่งในสหรัฐฯ สหราชอาณาจักร และออสเตรเลียตกเป็นเหยื่อของแผนการใช้แรงงาน IT ปลอมจากเกาหลีเหนือ และบางบริษัทได้รับข้อเรียกร้องค่าไถ่หลังจากที่ผู้โจมตีสามารถเข้าถึงข้อมูลภายในได้ ตามรายงานของ Secureworks
โดยผู้กระทำการใช้ข้อมูลประจำตัวที่ถูกขโมยหรือปลอมแปลงในการสมัครงานในบริษัทที่ถูกต้อง และหากได้รับการจ้างงาน จะใช้สิทธิ์เข้าถึงข้อมูลเพื่อขโมยข้อมูลและเข้าใจโครงสร้างพื้นฐานขององค์กรนั้น ๆ
มีรายงานว่ามีบริษัทมากกว่า 300 แห่งที่ตกเป็นเหยื่อของแผนการนี้ รวมถึงบริษัทด้านความปลอดภัยทางไซเบอร์ KnowBe4 และชาวรัฐแอริโซนา Christina Marie Chapman ซึ่งถูกตั้งข้อหาในเดือนพฤษภาคมสำหรับบทบาทที่เกี่ยวข้องในการช่วยแรงงาน IT ปลอมจากเกาหลีเหนือหางานในสหรัฐฯ
ตามรายงานล่าสุดจาก Mandiant แผนการที่ Chapman มีส่วนร่วมได้สร้างรายได้อย่างน้อย 6.8 ล้านดอลลาร์สหรัฐ ระหว่างปี 2020 ถึง 2023 ซึ่งมีความเป็นไปได้ว่านำเงินไปสนับสนุนโครงการนิวเคลียร์และขีปนาวุธของเกาหลีเหนือ
กิจกรรมนี้ถูกติดตามภายใต้ชื่อ UNC5267 และ Nickel Tapestry โดยปกติจะพึ่งพาการจ้างแรงงานปลอมเพื่อสร้างรายได้ แต่ Secureworks พบว่ากลยุทธ์ของผู้โจมตีมีการพัฒนา โดยเพิ่มการขู่กรรโชกเข้ามาในแผนการนี้
“ในบางกรณี แรงงานปลอมเรียกร้องค่าไถ่จากนายจ้างเก่าหลังจากได้รับการเข้าถึงข้อมูลภายใน ซึ่งเป็นกลยุทธ์ที่ไม่เคยพบในแผนการก่อนหน้านี้ ในกรณีหนึ่ง ผู้รับเหมาขโมยข้อมูลลับเกือบทันทีหลังจากเริ่มงานในกลางปี 2024” Secureworks กล่าว
หลังจากที่บริษัทหนึ่งเลิกจ้างผู้รับเหมาไป บริษัทนั้นได้รับข้อเรียกร้องค่าไถ่เป็นเงินสกุลคริปโตเคอร์เรนซีมูลค่าหลักแสนเพื่อป้องกันไม่ให้มีการเผยแพร่ข้อมูลที่ถูกขโมย โดยผู้กระทำการได้แสดงหลักฐานการขโมยข้อมูลให้ดู
เทคนิคและวิธีการที่พบในการโจมตีนี้สอดคล้องกับสิ่งที่เคยเกี่ยวข้องกับ Nickel Tapestry มาก่อน เช่น การขอเปลี่ยนแปลงที่อยู่จัดส่งแล็ปท็อปของบริษัท หลีกเลี่ยงการใช้วิดีโอคอล ขออนุญาตใช้แล็ปท็อปส่วนตัว ชอบใช้ระบบโครงสร้างพื้นฐานเดสก์ท็อปเสมือน (VDI) และอัปเดตข้อมูลบัญชีธนาคารบ่อยครั้งในระยะเวลาสั้น
ผู้โจมตียังเข้าถึงข้อมูลของบริษัทผ่าน IP ที่เกี่ยวข้องกับ VPN Astrill ใช้ Chrome Remote Desktop และ AnyDesk ในการเข้าถึงระบบของบริษัทจากระยะไกล และใช้ SplitCam ฟรีเพื่อปกปิดตัวตนและตำแหน่งของแรงงานปลอมขณะปรับให้เข้ากับความต้องการของบริษัทในการเปิดใช้งานวิดีโอระหว่างการสนทนา
Secureworks ยังพบความเชื่อมโยงระหว่างผู้รับเหมาแรงงานปลอมที่ทำงานในบริษัทเดียวกัน โดยพบว่าบางครั้งบุคคลเดียวกันจะใช้หลายตัวตน และในบางกรณี บุคคลหลายคนใช้ที่อยู่อีเมลเดียวกัน
“ในแผนการแรงงานปลอมหลายกรณี ผู้โจมตีแสดงให้เห็นแรงจูงใจทางการเงินโดยการรักษาการจ้างงานและรับเงินเดือน แต่เหตุการณ์ขู่กรรโชกนี้เปิดเผยว่า Nickel Tapestry ได้ขยายการดำเนินการเพื่อรวมการขโมยทรัพย์สินทางปัญญาและหากำไรเพิ่มเติมผ่านการขู่กรรโชก” Secureworks ระบุ
แรงงาน IT ปลอมจากเกาหลีเหนือมักสมัครงานในตำแหน่ง full stack developer โดยอ้างว่ามีประสบการณ์ทำงานเกือบ 10 ปี ระบุว่านายจ้างก่อนหน้ามากกว่า 3 รายในประวัติการทำงาน มีทักษะภาษาอังกฤษระดับเบื้องต้นถึงระดับกลาง ส่งประวัติการทำงานที่ดูเหมือนคัดลอกมาจากผู้สมัครรายอื่น ๆ มีเวลาทำงานที่ไม่ตรงกับที่ตั้งที่อ้าง และมักหาข้ออ้างที่จะไม่ใช้วิดีโอระหว่างการสนทนา
เมื่อบริษัทต้องการจ้างงาน IT แบบทำงานระยะไกลเต็มรูปแบบ ควรระมัดระวังผู้สมัครที่มีลักษณะหลายอย่างที่กล่าวมารวมกัน ผู้ที่ขอเปลี่ยนแปลงที่อยู่ระหว่างกระบวนการ onboarding และผู้ที่ขอให้เงินเดือนถูกส่งไปยังบริการโอนเงิน
Secureworks แนะนำว่า “บริษัทควรตรวจสอบตัวตนของผู้สมัครอย่างละเอียดโดยตรวจสอบเอกสารให้สอดคล้องกัน รวมถึงชื่อ สัญชาติ รายละเอียดการติดต่อ และประวัติการทำงาน การสัมภาษณ์แบบตัวต่อตัวหรือผ่านวิดีโอ และการสังเกตพฤติกรรมที่น่าสงสัย (เช่น การหยุดพูดเป็นเวลานาน) ระหว่างการสนทนาทางวิดีโออาจช่วยเปิดเผยการฉ้อโกงได้”
Credit: Securityweek.com
