Seorang pemodal ventura, perekrut dari sebuah perusahaan besar, dan pekerja TI jarak jauh yang baru direkrut mungkin tidak memiliki banyak kesamaan, namun semuanya telah tertangkap sebagai penipu yang diam-diam bekerja untuk rezim Korea Utara, menurut peneliti keamanan.
Pada hari Jumat di Cyberwarcon, sebuah konferensi tahunan di Washington DC yang berfokus pada ancaman yang mengganggu di dunia maya, para peneliti keamanan menawarkan penilaian terkini mereka mengenai ancaman dari Korea Utara. Para peneliti memperingatkan adanya upaya berkelanjutan yang dilakukan para peretas di negara tersebut untuk menyamar sebagai calon karyawan yang mencari pekerjaan di perusahaan multinasional, dengan tujuan mendapatkan uang untuk rezim Korea Utara dan mencuri rahasia perusahaan yang bermanfaat bagi program senjata rezim tersebut. Para penipu ini telah meraup miliaran dolar dalam bentuk mata uang kripto curian selama satu dekade terakhir untuk mendanai program senjata nuklir negara tersebut, dan menghindari serangkaian sanksi internasional.
Peneliti keamanan Microsoft James Elliott mengatakan dalam pembicaraan Cyberwarcon bahwa pekerja TI Korea Utara telah menyusup ke “ratusan” organisasi di seluruh dunia dengan membuat identitas palsu, sambil mengandalkan fasilitator yang berbasis di AS untuk menangani stasiun kerja dan pendapatan yang dikeluarkan perusahaan untuk menghindari hal tersebut. sanksi keuangan yang berlaku bagi warga Korea Utara.
Para peneliti yang menyelidiki kemampuan dunia maya negara tersebut melihat meningkatnya ancaman dari Korea Utara saat ini sebagai kumpulan kelompok peretas yang berbeda-beda dengan taktik dan teknik yang berbeda-beda, namun dengan tujuan kolektif yaitu pencurian mata uang kripto. Rezim ini menghadapi sedikit risiko atas peretasan yang dilakukannya – negara ini sudah terkena sanksi.
Salah satu kelompok peretas Korea Utara yang oleh Microsoft disebut “Ruby Sleet” perusahaan kedirgantaraan dan pertahanan yang dikompromikan dengan tujuan mencuri rahasia industri yang dapat membantu mengembangkan lebih lanjut sistem persenjataan dan navigasinya.
Microsoft merinci dalam postingan blog kelompok peretas Korea Utara lainnya, yang disebut “Sapphire Sleet,” yang menyamar sebagai perekrut dan pemodal ventura dalam kampanye yang bertujuan mencuri mata uang kripto dari individu dan perusahaan. Setelah menghubungi target mereka dengan iming-iming atau penjangkauan awal, para peretas Korea Utara akan mengadakan pertemuan virtual, namun pertemuan tersebut sebenarnya dirancang untuk memuat secara tidak benar.
Dalam skenario VC palsu, penipu kemudian akan menekan korbannya untuk mengunduh malware yang menyamar sebagai alat untuk memperbaiki pertemuan virtual yang rusak. Dalam kampanye perekrut palsu, penipu akan meminta calon kandidat untuk mengunduh dan menyelesaikan penilaian keterampilan, yang sebenarnya mengandung malware. Setelah terinstal, malware dapat mengakses materi lain di komputer, termasuk dompet mata uang kripto. Microsoft mengatakan para peretas mencuri setidaknya $10 juta dalam mata uang kripto selama periode enam bulan saja.
Namun sejauh ini kampanye yang paling gigih dan sulit untuk dilawan adalah upaya peretas Korea Utara untuk dipekerjakan sebagai pekerja jarak jauh di perusahaan-perusahaan besar, mendukung booming kerja jarak jauh yang dimulai selama pandemi Covid-19.
Microsoft menyebut para pekerja IT di Korea Utara sebagai “ancaman rangkap tiga” karena kemampuan mereka untuk mendapatkan pekerjaan di perusahaan-perusahaan besar dan mendapatkan uang untuk rezim Korea Utara, selain juga mencuri rahasia perusahaan dan kekayaan intelektual, lalu memeras perusahaan-perusahaan tersebut dengan ancaman untuk mengungkap rahasia perusahaan. informasi.
Dari ratusan perusahaan yang secara tidak sengaja mempekerjakan mata-mata Korea Utara, hanya segelintir perusahaan yang secara terbuka menyatakan diri sebagai korban. Kata perusahaan keamanan KnowBe4 awal tahun ini mereka ditipu untuk mempekerjakan pegawai Korea Utaranamun perusahaan memblokir akses jarak jauh pekerja tersebut setelah menyadari bahwa mereka telah ditipu, dan dikatakan bahwa tidak ada data perusahaan yang diambil.
Bagaimana pekerja TI Korea Utara menipu perusahaan agar mempekerjakan mereka
Kampanye pekerja IT di Korea Utara biasanya menciptakan serangkaian akun online, seperti profil LinkedIn dan halaman GitHub, untuk membangun tingkat kredibilitas profesional. Pekerja TI dapat menghasilkan identitas palsu menggunakan AI, termasuk menggunakan teknologi pertukaran wajah dan pengubah suara.
Setelah dipekerjakan, perusahaan mengirimkan laptop baru karyawan tersebut ke alamat rumah di Amerika Serikat yang, tanpa sepengetahuan perusahaan, dijalankan oleh seorang fasilitator, yang bertugas menyiapkan kumpulan laptop yang dikeluarkan perusahaan. Fasilitator juga menginstal perangkat lunak akses jarak jauh di laptop, memungkinkan mata-mata Korea Utara di belahan dunia lain untuk login dari jarak jauh tanpa mengungkapkan lokasi sebenarnya mereka.
Microsoft mengatakan pihaknya juga mengamati mata-mata negara tersebut beroperasi tidak hanya di Korea Utara tetapi juga di Rusia dan Tiongkok, dua sekutu dekat negara yang memisahkan diri tersebut, sehingga lebih sulit bagi perusahaan untuk mengidentifikasi tersangka mata-mata Korea Utara di jaringan mereka.
Elliott dari Microsoft mengatakan bahwa perusahaannya mendapat keberuntungan ketika secara tidak sengaja menerima repositori publik milik seorang pekerja TI Korea Utara, yang berisi spreadsheet dan dokumen yang merinci kampanye tersebut, termasuk dokumen identitas palsu dan resume yang dibuat oleh para pekerja TI Korea Utara. yang mereka gunakan untuk dipekerjakan dan jumlah uang yang dihasilkan selama operasi. Elliott menggambarkan repo tersebut memiliki “seluruh pedoman” bagi para peretas untuk melakukan pencurian identitas.
Warga Korea Utara juga akan menggunakan trik yang dapat membuat akun tersebut palsu, seperti segera memverifikasi identitas palsu akun LinkedIn mereka segera setelah mereka mendapatkan alamat email perusahaan untuk memberikan persepsi yang lebih besar tentang keabsahan akun tersebut.
Ini bukan satu-satunya contoh yang diberikan para peneliti tentang kecerobohan para peretas yang membantu mengungkap sifat sebenarnya dari operasi mereka.
Hoi Myong, dan seorang peneliti yang dikenal dengan nama SttyK, mengatakan bahwa mereka mengidentifikasi orang-orang yang dicurigai sebagai pekerja TI Korea Utara dengan menghubungi mereka untuk mengungkap lubang dalam identitas palsu mereka, yang tidak selalu dibuat dengan hati-hati.
Dalam pembicaraan Cyberwarcon mereka, Myong dan SttyK mengatakan bahwa mereka berbicara dengan seorang tersangka pekerja TI Korea Utara yang mengaku sebagai orang Jepang, namun akan membuat kesalahan linguistik dalam pesan mereka, seperti menggunakan kata atau frasa yang pada dasarnya tidak ada dalam bahasa Jepang. Identitas pekerja TI tersebut memiliki kelemahan lain, seperti mengaku memiliki rekening bank di Tiongkok namun memiliki alamat IP yang berlokasi di Rusia.
Pemerintah AS telah menjatuhkan sanksi terhadap organisasi-organisasi yang terkait dengan Korea Utara dalam beberapa tahun terakhir sebagai tanggapan terhadap skema pekerja TI. FBI juga telah memperingatkan bahwa pelaku kejahatan sering kali menggunakan citra yang dihasilkan AI, atau “deepfake”, yang sering kali bersumber dari identitas yang dicuri, untuk mendapatkan pekerjaan di bidang teknologi. Pada tahun 2024, jaksa AS mengajukan tuntutan terhadap beberapa individu dengan menjalankan peternakan laptop yang memfasilitasi menghindari sanksi.
Namun perusahaan juga harus melakukan pemeriksaan yang lebih baik terhadap calon karyawannya, desak para peneliti.
“Mereka tidak akan pergi,” kata Elliott. “Mereka akan berada di sini untuk waktu yang lama.”
