朝鲜的 IT 人员已将业务范围扩大到美国以外,目前正越来越多地将目标对准欧洲各地的组织。他们也被称为“IT 战士”,隐藏真实身份,冒充其他国家的工作人员,通过笔记本电脑农场连接,以欺诈手段获得全球各地公司远程自由职业 IT 员工的职位,为朝鲜政权创造收入。
Google威胁情报小组 (GTIG) 的安全研究人员发现,在朝鲜 IT 大军的许多成员受到美国指控和制裁后,朝鲜 IT 大军越来越多地将目标对准德国、葡萄牙和英国的公司。
GTIG 首席威胁情报顾问 Jamie Collier 表示:“为了保住这些职位,朝鲜 IT 工作人员采用了欺骗手段,谎称自己拥有多个国家的国籍,包括意大利、日本、马来西亚、新加坡、乌克兰、美国和越南。他们使用的身份是真实身份和虚构身份的结合。 ”
“欧洲的 IT 工作者是通过各种在线平台招募的,包括 Upwork、Telegram 和 Freelancer。他们的服务付款是通过加密货币、TransferWise 服务和 Payoneer 进行的,这突显了他们使用混淆资金来源和去向的方法。”
朝鲜 IT 工作者所针对的国家 (GTIG)
例如,GTIG 调查人员在欧洲求职网站和人力资本管理平台上发现了用户凭证,这些凭证与朝鲜 IT 工作者在德国和葡萄牙公司求职有关。朝鲜 IT 工作者还与英国的许多项目有关,这些项目涉及人工智能和区块链技术、网络、机器人和内容管理系统 (CMS) 开发等。
2024 年末,另一名朝鲜 IT 工作者针对国防工业基地和政府部门的多个欧洲组织,使用虚假的参考资料和角色,以便更容易地诱骗招聘人员雇用他们。
Mandiant Google云首席分析师迈克尔·巴恩哈特 (Michael Barnhart) 在一月份告诉 BleepingComputer:“我们越来越多地看到朝鲜 IT 工作者渗透到大型组织以窃取敏感数据并对这些企业发出勒索威胁。”
“他们将业务扩展到欧洲以复制他们的成功也不足为奇,因为这样更容易诱捕那些不熟悉他们伎俩的公民。”
2024 年 9 月 12 日,英国金融制裁实施办公室 针对朝鲜 IT 工作者发布了咨询报告, 其中包含有关潜在目标如何降低其风险敞口的信息,并警告雇用他们的个人和组织可能会违反金融制裁。
GTIG 的报告是在FBI多次发出警告之后发布的,此前,FBI 曾警告称,朝鲜大量 IT 员工被派往海外赚取收入,多年来,这些人欺骗了美国和世界各地的数百家公司。然而,朝鲜政权却将通过这种方式收取的工资中高达 90% 留作己用,每年赚取数亿美元来资助其武器计划。
在被发现和解雇后,一些卧底的朝鲜 IT 工作者还利用内幕信息敲诈前雇主,威胁泄露从公司系统中窃取的敏感信息。
今年 1 月,美国司法部起诉了两名朝鲜公民和三名协助者,指控他们在 2018 年 4 月至 2024 年 8 月期间参与了一项长达多年的欺诈性远程 IT 工作计划,涉及至少 64 家美国公司。
美国财政部外国资产控制办公室 (OFAC)还制裁了与朝鲜国防部有联系的朝鲜幌子公司,这些公司被指控通过非法远程 IT 工作计划获取收入。美国国务院现在提供数百万美元,以换取任何可能有助于阻止其欺诈活动的信息。
近年来,韩国和日本政府机构也发出警告,警惕朝鲜人冒充其他国家人员在私营企业担任远程 IT 工作者。
0 条