Фальшивые резюме, реальный взлом — КНДР атакует европейский IT изнутри

Северокорейские IT-специалисты стали активно проникать в компании Европы под видом удалённых сотрудников. По данным Google Threat Intelligence Group, операторы из КНДР активизировали деятельность в Германии, Португалии, Сербии, Словакии и других странах, используя фальшивые резюме, поддельные паспорта и сгенерированные ИИ-фотографии для прохождения собеседований.

Цель таких работников — получить работу в IT-сфере и направить зарплаты в бюджет Пхеньяна. Иногда они не ограничиваются только наймом: запускают вредоносное ПО на корпоративных устройствах, похищают конфиденциальную информацию и вымогают деньги. Также выявлены случаи, когда такие специалисты устраиваются одновременно в несколько компаний, получая сразу несколько зарплат, но при этом плохо справляясь с задачами.

Часто для сокрытия происхождения используется тактика «сломанной веб-камеры», VPN и помощь местных посредников. Последние принимают корпоративные ноутбуки, оставляют их подключёнными к сети, а также помогают переводить заработанные средства через криптовалюту или сервисы вроде Payoneer и TransferWise. Такая схема получила название «ферма ноутбуков» . В одном из случаев корпоративное устройство, предназначенное для США, оказалось активным в Лондоне, что указывает на наличие сложной логистической цепочки.

Расследование показало наличие подробных инструкций по трудоустройству на европейских сайтах, включая советы по смене часового пояса и оформлению фиктивного гражданства. В документах упоминаются фейковые биографии с дипломами якобы из Белградского университета и адресами в Словакии. Также найдены данные для входа в аккаунты на сайтах по подбору персонала и платформах управления кадрами.

Специалисты Google подчёркивают, что мошенники всё чаще нацеливаются на компании, использующие политику BYOD (Bring Your Own Device). Такой подход позволяет работать с личных устройств, которые не контролируются корпоративными средствами безопасности, а также исключает необходимость пересылки ноутбуков — это снижает риски разоблачения через проверку по адресу.

Отмечено, что с ростом международного давления и расследований в США, северокорейские IT-сотрудники активнее перемещают деятельность в Европу, где уровень осведомлённости о подобных схемах ниже. Некоторые из специалистов стали чаще прибегать к шантажу — после увольнения угрожают раскрыть конфиденциальные данные или передать их конкурентам. В утечках фигурируют исходные коды и внутренние проекты.

Федеральные агентства рекомендуют обращать внимание на признаки подмены: отказ от видеозвонков, частые изменения платёжных реквизитов, отсутствие фотографий в профилях и несовпадения адресов. Выявление подобных злоупотреблений будет становиться всё сложнее, поскольку уровень подготовки мошенников растёт, а их мишенью всё чаще становятся крупные технологические компании.