Северокорейские ИТ-операции с ИИ: новая угроза безопасности компаний

Северокорейские ИТ-работники используют искусственный интеллект для совершенствования мошеннических схем

Microsoft Threat Intelligence опубликовала критически важный отчет о новых методах киберпреступности, в которых удаленные ИТ-работники, преимущественно из Северной Кореи, Китая и России, активно применяют искусственный интеллект (ИИ) для повышения эффективности мошеннических операций. Такие действия направлены на кражу данных и получение нелегальных доходов для правительства Северной Кореи.

Мошенничество в сфере удаленного ИТ-труда

Группа злоумышленников использует сложные методы для сокрытия своей личности, что позволяет им успешно внедряться в компании по всему миру под видом квалифицированных специалистов. В основе их деятельности лежит:

• Использование VPN и инструментов удаленного мониторинга (RMM — Remote Monitoring and Management), чтобы скрыть реальное местоположение;
• Создание поддельных профилей с помощью ИИ, включая программное обеспечение для обработки изображений и изменения голоса;
• Приобретение украденных или сфабрикованных документов, удостоверяющих личность;
• Активное участие в мошеннических схемах трудоустройства, ориентированных на технологические компании.

Поддельные личности успешно находят отклик у работодателей и получают удаленный доступ к корпоративным системам, что открывает злоумышленникам возможность похищения интеллектуальной собственности и коммерческих тайн.

Масштабы и последствия атак

Исторически атаки были ориентированы на американские технологические компании, однако в последнее время масштабы деятельности значительно расширились и охватывают множество секторов по всему миру. По данным Microsoft, с 2020 по 2022 год более 300 американских компаний приняли на работу северокорейских удаленных ИТ-специалистов, не подозревая об их истинной принадлежности.

Эти работники часто прибегают к тактикам шантажа, используя угрозы разглашения украденной информации для вымогательства денежных средств у работодателей.

Меры противодействия и рекомендации

Microsoft разработала комплекс мер по выявлению и блокировке подозрительной активности, включая:

• Мониторинг аномалий в геолокационных данных, например, аккаунты, зарегистрированные как находящиеся в США, но на деле используемые из Китая или России;
• Анализ использования RMM-инструментов, что помогает обнаруживать признаки удаленного контроля со стороны злоумышленников;
• Применение машинного обучения для выявления учетных записей, связанных с северокорейскими ИТ-специалистами. Благодаря этой технике было приостановлено около 3000 подозрительных учетных записей в системах Microsoft;
• Рекомендации по совершенствованию процесса верификации кандидатов — использование цифровых отпечатков пальцев и уникальных средств связи;
• Повышенное внимание к кадровым агентствам, через которые чаще всего происходит проникновение в компании.

Microsoft подчеркивает, что ключом к противодействию таким изощренным атакам является _постоянный мониторинг_ и _обучение_ сотрудников, что позволит своевременно выявлять инсайдерские угрозы и минимизировать возможные потери.

«Мы наблюдаем рост использования искусственного интеллекта в целях кибершпионажа и мошенничества, что требует от организаций новых подходов к защите и повышению осведомленности», — говорится в отчете Microsoft Threat Intelligence.

В условиях эскалации подобных угроз корпоративным клиентам рекомендуется внедрять комплексные политики безопасности и уделять особое внимание проверке удаленных сотрудников, чтобы не стать жертвой этой многоуровневой мошеннической схемы.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.