Európában terjeszkedik az észak-koreai kibertámadás új hulláma

Az Egyesült Államokban leleplezett kibercsalások után Észak-Korea kiberhadviselése új célpontokat keres: most Európára irányul a figyelmük. A Google Threat Intelligence Group friss jelentése szerint az észak-koreai IT-munkás csalások kiterjedtek Európára, különösen a védelmi iparban és az állami szektorban működő cégeket célozva.

A csalási modell lényege, hogy a Koreai Népi Demokratikus Köztársaság (KNDK) állampolgárai álneveket és hamis dokumentumokat használva online platformokon – mint például az Upwork vagy a Freelancer – keresnek távmunkában végezhető IT-állásokat. Ezek a pozíciók magas fizetést biztosítanak számukra, amit aztán az ország fegyverkezési programjainak finanszírozására használnak fel.

A Google szerint a 2024 végén egyetlen észak-koreai IT-munkás legalább 12 különböző álprofil mögött állt, melyekkel Európában és az Egyesült Államokban próbált állást szerezni. A jelentés szerint különösen Németországban, Portugáliában és az Egyesült Királyságban vált aktívvá a hálózat, ahol webfejlesztés, botkészítés, tartalomkezelő rendszerek és blokklánc technológiák területén próbáltak elhelyezkedni.

A csalók gyakran olasz, japán, malajziai, ukrán vagy amerikai állampolgárnak adják ki magukat, valódi emberektől lopott adatok és hamis útlevelek segítségével. Egyes esetekben Európán belüli segítőkkel dolgoznak együtt, akik saját otthonukban üzemeltetik a céges laptopokat, ezzel azt a látszatot keltve, hogy a munkavállalók valóban az adott országban tartózkodnak.

A Google jelentése egy olyan esetet is bemutat, ahol az amerikai munkavégzésre szánt céges laptopot valójában Londonban használták, brit és amerikai segítők közreműködésével. Egy másik nyomon követett infrastruktúrában hamis életrajzokat, szerbiai egyetemeken szerzett képesítéseket, valamint Szlovákiában bejelentett lakcímeket használtak.

Változatos taktika

Az új európai célpontok mellett a taktika is változik: míg korábban a lebukott munkások megpróbálták újra alkalmaztatni magukat más álprofilokon keresztül, ma már inkább zsarolással élnek. Ha kirúgják őket, azzal fenyegetőznek, hogy ellopott forráskódokat, céges titkokat juttatnak el versenytársakhoz.

A zsaroló kampányokat különösen azok a vállalatok veszélyeztetik, amelyek megengedik a saját eszközök használatát (BYOD – bring your own device), ezzel megkönnyítve a csalók dolgát. A háttérben működő úgynevezett „laptop farmok” – amelyek Kínában, Oroszországban vagy Laoszban üzemelnek – lehetővé teszik, hogy úgy tűnjön, a munkavállaló Európában dolgozik, miközben valójában máshol végzi tevékenységét.

Az amerikai hatóságok 2024-ben több személyt is letartóztattak, akik az úgynevezett „DPRK RevGen: Domestic Enabler” kezdeményezés keretében segítették az észak-koreai munkásokat. Egyes jelentések szerint egyetlen IT-munkás akár évi 300 000 dollárt is kereshetett, míg egy teljes csapat 3 millió dollárnál is többet termelhetett évente.

A nyomozók szerint a csalások mögött gyakran a KNDK Hadiipari Minisztériuma áll, amely Észak-Korea ballisztikus rakétáinak és fegyverprogramjainak fejlesztéséért felelős. A célba vett vállalatok között szerepeltek Fortune 500-as cégek, technológiai vállalatok, autógyártók, valamint védelmi és médiaóriások is.

A szakértők szerint az észak-koreai kiberhadsereg most már globális hálózatot épített ki, amely gyorsan alkalmazkodik az új körülményekhez. Az európai cégeknek így fokozott óvatossággal kell eljárniuk az online toborzás során, különösen akkor, ha távoli munkavégzésről van szó.