The Ghost Employee: Department 53 and the North Korean Remote Workforce

THE GHOST EMPLOYEE

Department 53 and the North Korean Remote Workforce

15 юли 2024 г., Клеървотер, Флорида, 9,055 стр. .m.m. Източно време. В рамките на системите за мониторинг се задейства сигнал за сигурност.

От NoB4, Компания за обучение по киберсигурност с над 50 милиона Потребителите на 54.000 организации. В сигналите се посочва аномална активност на новоподатен човек.

Провизионирана работна станция. Работната станция беше доставена по-рано този ден на ново наети главен софтуерен инженер. Той е преминал четири видео интервюта.

Неговите препратки бяха проверени. Разследването му за миналото му се върна чисто. Инженерът е на 25 минути от първата си работа. Смяна. Смяна.

Той инсталира вреден код на работното място, доставящ се. чрез Raspberry Pi, свързан към същия мрежа. мрежа. Неговата снимка е акционна снимка, модифицирана от

Изкуствен интелект. Името му принадлежи на истински американски мъж. Никога не се е срещал. Неговото физическо местоположение е или в рамките на Северния

Корейска или през границата в североизточна Китай. Това не е изолиран инцидент. NoB4 е компания, която преподава на други организации. Как да открием точно този вид заплаха.

Те не са били първата мишена. Те не бяха стотинката. Това е дело за трудовото дело. Пазарът е с противник, вграден вътре в него.

Демократическата партия... Демократичната народна република Корея е имала, оттогава, През 2011 г., приблизително преследва информационните технологии като стратегически национален приоритет.

Директивата е с одобрението на Ким Чен Ун. Под санкциите, които изолират режима от глобалното Търговията, конвенционалните потоци от приходи се стесняват. Кибер операциите, кражбата, шпионажът, измамите са се разширили до

Запълнете празнината. Специфичната програма в този случай се управлява. от подразделение, наредено отдел 53. За да се покаже това, корейският департамент

ccl Експерти са били готови да го направят. са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са са От 6800 през 2022 г. до 8400

През 2024 г. Увеличението проследява разширяването на дистанционното работа. Нормите след пандемията. Съединените щати

Според правителствените оценки колективният годишен доход на Това е това. Работната сила над $500 милиона. Индивидуалните оператори могат да генерират до $300,000

Например, през годината, понякога като държане. Многобройни едновременно заети позиции в различни американски компании. Повечето от приходите са били прати чрез китайски Счетоводни сметки

и се връща обратно в Пхенян. Тя финансира режима директно, включително, според Съединените щати Определенията на Министерството на финансите, неговите програми за оръжия за масово унищожение.

Федералният бюро за разследване класифицира тази схема. Като ан Активна заплаха за националната сигурност. Той работи в мащаб от 18 години.

Поне през 2018 г. Механиката се развива в шест етапа. Стадион 1. Идентичността на изкуството.

Операторът придобива личната информация на един човек. Истински американски гражданин, Обикновено чрез каналите за кражба на самоличност, достъпни на интернет. Тъмният уеб.

Пълно юридическо име. Номер на социалното осигуряване. Датата на раждане. История на заетостта.

В един федерален случай една операция е била компрометирана. Идентичността на повече от 80 души Американци. Операторът след това изгражда професионална идентичност на

Отгоре на откраднатото. LinkedIn профил с измислена информация. Изфабрикувана история на работата. Счетоводен код на GitHub, който често се използва.

Скрапени или клонирани. Пропускаема снимка, често и на пазара, редактирана. Генериративният интелект да се направи чрез Reverse image searches не успяват.

Етап 2. Приложението. Операторът се прилага за дистанционно разполагащи само позиции, обикновено софтуерно инженерство,

Разработката на фронт-енд или пълните роли. Някои заявления се направят чрез агенции за персонализиране. Някои от тях отиват директно. Стадия 3.

Интервюто. Повечето американски работодатели провеждат видео интервюта за дистанционни служители. Позиции. Операторът присъства с включена камера.

Предварително репетирани отговори. В по-усъвършенствани случаи технологията за заместване на лица е Използва се за картографиране на синтетичен или животен Изображение върху лицето на оператора в реално време.

Според киберсигурната фирма SentinelOne, приблизително 1 000 заявления за работа, получени от През последните години компанията е била свързана с други компании. за предполагаема нормализация.

Компанията е в бизнеса от тогава. началото на своето съществуване. Според Mandiant, компания, която е била Основен източник на информация за

Според Мандиант, сега е част от Google В облака, почти всяка информация от Fortune 500 е важна. Служител на охраната, интервюиран по темата, призна, че е признал че тяхната компания има,

Знаейки или не знаейки, наели поне един. Стадион 4 Изпратката. След наемане компанията издава лаптоп, обикновено

MacBook. MacBook. Операторът предоставя имената на американския адрес за доставка. Адресът никога не е посочван като местопребиваване. Клиентите на компанията често са едни и същи.

Те са или домът на улеснителя или търговското място. Това е фермата за лаптопи. Лаптоп фермата е физическото якор на операцията. Типичен дом е жилище или малък град.

Коммерсиалното пространство, някъде в Съединените щати. Държавите, управлявани от посредник, често американски Понякога получават обезщетение, понякога получават граждански Само частично осъзнава пълната структура.

Вътре се намират десетки лаптопи, издадени от работодателите, свързани с тях. до една локална мрежа. Всеки лаптоп има отделна мрежа. Всеки лаптоп е конфигуриран за постоянен дистанционен достъп.

Операторът е физически в Северна Корея или в други страни. Китайската граница, свързва се чрез VPN Коммерческия или дистанционен десктоп софтуер в лаптопа На фермата.

От гледна точка на работодателя сесия на служителя започва от жилищна американска IP По време на работното време в САЩ, на адрес на компанията -издадено устройство.

Всички телеметри са чисти. Етап 5 Улеснителят. Ролята на улеснителя е да предоставя услуга.

Тя е структурна. Приемайте пратки. Засилете устройствата. Изпълнявайте случайни IT задачи на място.

Процесът на заплащането чрез Shell компании в контролирани сметки от съучастници В чужбина. През април 2026 г. федерален съд в Масачузетс

осъдени са двама жители на Ню Джърси, Каджия Вонг и Ченсинг Вонг, без връзка, са девет. Седем години и половина в затвора. В затвора,

Съответно. Двамата бяха осъдени на четири години затвор. Затвор. Съдът на съда е готов да осъди Каджия.

Вонг и Ченсинг Вонг са на девет години и са били наказани за това. Седем седем. Години затвор, докато Каджия Уонг е осъдена. От 10 до 10 години и осем и половина.

През годините в Затвор. Каджая Уонг и Ченсинг Уонг живееха заедно в Трансформационната ширина на южната част на Лос Анджелис.

Каджая Уонг се откъснява, живее сама, прави силен. Знаейки, че е престъпник, той продължава да се държи. С общува с колегите си в УО. Има десетки.

Когато става въпрос за дублиране, нищо не е важно и Те са с 10 години по-млади от Юхейре. Най-интересното от всички дебюти е, че Капитанът, Стант, работил за Тетра.

Той е прекарвал времето си на косата си и днес Мислите за Мейсел и напишете игри в неговия стил. С косата Личните ценности.

Нейната дейност е засегнала повече от 300 американски компании. и насочи над 17 милиона долара към Северна Корея. Тя признава вината си и получи присъда от 6 години. 102 месеца.

Операцията на Чапман компрометира личната идентичност на А. Най-малко 60 американци. Къщата й беше свързана с нея в продължение на три години. Оптични влакна са предназначени за програма за ядрено оръжие на

От другата страна на света. Връщайте се в Клеървойтър. Връщайте се към 25-минутното прозореца. Центърът за сигурност на операциите на No B-4, предупреден от

Автоматизирано откриване, свързано с новия служител За да се допитат за аномалната активност. Работникът отговори, че е следвал един човек. Рутерът за отстраняване на проблеми, който може да е причинил

Фалшива аларма. От охранителния екип на B-4 поискаха живо видео. Обаждане. Работникът каза, че не е бил на разположение.

Скоро след това той стана безразсъден. В 10.020 часа вечерта. Eastern Time, неговата работна станция беше затворена. Б-4 публикува инцидента през юли.

Подробна публикация в блога, написана от нейния шеф. Изпълнителен директор, Стю Шауърман. В статията се описва конкретната техническа мярка, предприета. от оператора.

Той използвал Распери Пи, за да свали Малверен софтуер. Малверният софтуер е бил информационен крадец. Целта е да бъдат предоставени данни за акредитацията, оставени в браузъра.

Останалите сесии, остатъчни токове за автентичност от предишните сесии на лаптопа Осигуряване. Целта на оператора беше да събере останалото. На машината преди да е била напълно заредена.

Засигурен. Няма данни за клиентите. Операторът е бил ликвидиран, преди да получи по-широк достъп. Но операторът е изчистил всички предварителни заеми.

Контрол на позадината, проверка на фенотипа, удостоверяване на самоличността, четири видео Интервюта с четирима различни членове на екипа. Всички те са говорили с някой, който е бил не съществува.

Министерството на правосъдието на САЩ има, както и От тази запис, разпечатана поне четири големи Обвинения, свързани с схемата. По-малко от 29 ферми за лаптопи бяха претърсени.

16 държави. ФБР издаде публични съвети през май. Октябрь 2022, май 2023, май 2024. Натискът на правоприлагащите органи не е причинил операцията.

Да сключим договор. Изследовател от No B-4 сравнява с икономиката до търговията с наркотици. За всеки арестуван посредник вече има два.

да ги замени. Доставката от съучастници в съучастничеството в САЩ е увеличаване. Независимо дали е финансово мотивирано или частично измамено, това превъзхожда обвиненията.

Пропуск. Структурната причина е асиметрията на пазара на труда. Отдалеченото наемане е глобален, асинхронен процес. Проверката на самоличността в повечето американски компании остава проблем.

Домашният, синхронен. Откраднат номер на социалното осигуряване ще премине през Автоматизиран кредитен проверка. Купуван LinkedIn одобрение изглежда идентично с един

органичен. Ноутбук, изпратен в САЩ. Пощенският код се представя като лаптоп в Съединените щати.

Операторите не побеждават тези системи. Те минават през тях точно както са проектирани. Много от тях също вършат работата си. Значителна част от севернокорейските оператори доставят

Законна работа в софтуерната инженерия. Американските работодатели получават функционален код, отговарят на крайните срокове, и приемливи оценки за ефективността. Изливането на заплатите е целият процес.

Изливането на данни, когато се случи, е вторичен реколтата. Въпросът, на който не може да бъде отговорен от публиката. Информацията е колко оператори остават наети в рамките на

Американски компании в момента. Според оценката на Мандиант почти всеки шеф на Fortune 500 Служител по сигурността на информацията е признал, че поне Един известен случай установява под, а не под.

таван. Приетните случаи са тези, които са били открити. Неоткритите случаи остават по дефиниция в заплащането. Системите.

Няма шифроване, което да победи тази атака. Никакво сегментиране на мрежата не го затваря. Никакъв брандмауър не разпознава служител, който е бил законно Наети.

Защитата на повърхността е човешкия ресурс. Документът остава отворен. От април 2026 г. две от най-големите са били на път да се разпространят. Наскоро обвинявани улеснители отслужават федерални присъди в

Масачузетс. Девет допълнителни лица, свързани с една и съща операция остават на свобода. Съединените щати

Държавният департамент предлага награда от 5 милиона долара. За да получите информация, която да доведе до ареста на тези лица. Все още не е задържана. Отдел 53 в Пхенян продължава да работи.

Fragment Zero ще проследи файла на случая. Следващият път, когато американската компания публикува а Ролята на дистанционно инженерно-програмно инженерство, приблизително една в една Ще бъдат докладвани хиляди заявки.

Защитата на въпроса не е дали е налице Организацията ще се сблъска с тази операция. Въпросът е дали организацията ще забележи.