The Ghost Employee: Department 53 and the North Korean Remote Workforce
THE GHOST EMPLOYEE
Department 53 and the North Korean Remote Workforce
15. Juli 2024, Clearwater, Florida, 9.055 S .m. Ostzeit. Ein Sicherheitswarnbrett entfacht sich im Inneren der Überwachungssysteme
von NoB4, Eine Cybersicherheits-Ausbildungsfirma mit über 50 Millionen€. Nutzer in über 54.000 Organisationen. Die Warnungen zeigen eine anomale Aktivität auf einem neu entstandenen Netzwerk.
Bereitstellung eines Arbeitsplatzes. Die Workstation wurde an diesem Tag früher an geliefert. Ein neu eingestellter Hauptanbieter für Software. Er hatte vier Videobesprechen bestanden.
Seine Referenzen waren ausgecheckt. Seine Hintergrunduntersuchung war wieder klar. Der Ingenieur ist 25 Minuten in seinem ersten Schritt. Schaltzeit. Schicht.
Er installiert Malware auf dem Arbeitsplatz, die geliefert werden Über einen Raspberry Pi, der mit demselben verbunden ist Netzwerk. Netzwerk. Sein Foto ist ein Stockbild modifiziert von
Künstliche Intelligenz. Sein Name gehört zu einem echten amerikanischen He. hat sich nie getroffen. Sein physischer Ort ist entweder innerhalb des Nordens.
Korea oder über die Grenze im Nordosten Chinas. Dies ist kein isolierter Vorfall. NoB4 ist ein Unternehmen, das andere Organisationen unterrichtet Wie genau diese Art von Bedrohung zu erkennen.
Sie waren nicht das erste Ziel. Sie waren nicht der Hundertte. Dies ist eine Fallakte über eine Arbeit Ein Markt mit einem gegnerischen Markt, der sich darin befindet.
Die Demokraten... Die Demokratische Volksrepublik Korea hat seit 2011, ungefähr Verfolgte Informationstechnologie als strategische nationale Priorität.
Die Richtlinie stammt aus der Zustimmung von Kim Jong-un. Unter Sanktionen, die das Regime von der Welt isolieren Handel, konventionelle Einnahmeströme haben sich eingeschränkt. Cyber-Operationen, Diebstahl, Spionage, Betrug haben sich auf die Öffentlichkeit ausgeweitet.
Füllen Sie die Lücke. Das spezifische Programm in diesem Fall wird betrieben von einer Einheit, die das Abteilung 53 benannt hat. Um dies zu demonstrieren, hat das koreanische Ministerium eine Linie
ccl Expertsare sind sind Von 6.800 im Jahr 2022 auf 8.400
Im Jahr 2024. Der Anstieg verfolgt die Expansion der Fernarbeit Normen nach der Pandemie. Die USA
Regierungsschätzungen legen die kollektiven Jahreserträge von Das ist das das ist das das ist das Die Arbeitskräfte sind über 500 Millionen Dollar. Einzelne Betreiber können bis zu $300.000 generieren
pro Jahr, manchmal durch Holding Mehrere gleichzeitige Positionen bei verschiedenen amerikanischen Unternehmen. Der größte Teil der Einnahmen wurde durch chinesische Mittel gewaschen Es gibt nur noch eine Reihe von Konten.
und zurück nach Pjöngjang zurückgeleitet. Es finanziert das Regime direkt, einschließlich, gemäß Die USA Die Bezeichnungen des Finanzministeriums, seine Massenvernichtungswaffenprogramme.
Das FBI klassifiziert dieses System als "schädlich". Als ein Eine aktive Bedrohung der nationalen Sicherheit. Es ist seit dem Jahr 2001 in großem Umfang tätig.
Zumindest 2018. Die Mechanik geht in sechs Stufen voran. Stufe 1. Identitätsfabrikation.
Der Betreiber erhält die persönlichen Daten eines Betreibers. Sie sind ein echter amerikanischer Bürger, Normalerweise über die Identitätsdiebstahlkanäle, die auf der Website verfügbar sind. Das dunkle Web.
Vollrechtlicher Name. Vollrechtlicher Name. Die Sozialversicherungsnummer. Geburtsdatum. Die Beschäftigungsgeschichte.
In einem Bundesfall wurde eine einzige Operation kompromittiert Die Identitäten von mehr als 80 Personen Amerikaner. Der Betreiber baut dann eine professionelle Identität auf
Die Spitze des gestohlenen. Ein LinkedIn-Profil mit gefälschten Informationen. Eine gefälschte Arbeitsvergangenheit. Ein GitHub-Konto mit Code, der oft
Schraubt oder geklont. Ein passbares Foto, häufig ein Stockbild, bearbeitet Generative KI durch die zu machen. Reverse Image Searches scheitern.
Stufe 2. Die Anwendung. Der Betreiber gilt für nur ferngelegene Positionen, typischerweise. Software-Engineering,
Front-end-Entwicklung oder Full-Stack-Rollen. Einige Anträge werden durch Personalagenturen weitergeleitet. Einige gehen direkt. Stufe 3.
Das Interview. Die meisten amerikanischen Arbeitgeber führen Videointerviews für Remote-Anwendungen durch. Positionen. Positionen. Der Betreiber ist mit eingeschalteter Kamera dabei.
Vorübergehend geübte Antworten. In anspruchsvolleren Fällen ist die Gesichtsersatztechnologie verwendet, um eine synthetische oder live-Mapping Bild auf das Gesicht des Betreibers in Echtzeit.
Laut dem Cybersicherheitsunternehmen SentinelOne ist etwa 1 ,000 Bewerbungen für Stellen, die von Das Unternehmen wurde in den letzten Jahren mit anderen Unternehmen verknüpft. zu vermuteter Normalisierung.
Das Unternehmen ist seit in diesem Geschäft. Der Beginn seiner Existenz. Laut Mandiant, einem Unternehmen, das seit Jahren Eine wichtige Informationsquelle für die
Laut Mandiant ist es jetzt eine Einheit von Google. In der Cloud, fast jeder Fortune 500-Chefinformationen Ein Sicherheitsbeamte, der zu diesem Thema interviewt wurde, hat bestätigt, dass er Die Firma hat,
Wissentlich oder unwissentlich, engagierte ich mindestens einen. Stufe 4. Die Versandzeit. Bei der Vermietung gibt das Unternehmen einen Laptop aus, der normalerweise
Ein MacBook. Der Betreiber stellt eine US-Schiffadresse vor. Die Adresse ist nie der behauptete Wohnsitz. Die Kunden des Unternehmens sind oft dieselben.
Sie sind entweder das Zuhause eines Facilitators oder ein kommerzieller Standort. Das ist die Laptop-Farm. Die Laptop-Farm ist der physische Anker der Operation. Eine typische Einrichtung ist ein Wohnhaus oder ein kleines Haus.
Im kommerziellen Raum, irgendwo in den Vereinigten Staaten Betrieben von einem Vermittler, oft ein US-Staaten Manchmal als Bürger, manchmal als Kompensator, manchmal als Bürger Nur teilweise bewusst von der gesamten Struktur.
Im Inneren sind Dutzende von Arbeitgeber-ausgestellten Laptops verbunden zu einem einzigen lokalen Netzwerk. Jeder Laptop hat ein eigenes Netzwerk. Jeder Laptop ist für einen dauerhaften Fernzugriff konfiguriert.
Der Betreiber, physisch in Nordkorea oder überall in der Welt. Die chinesische Grenze verbindet sich über ein VPN Kommerzielle oder Remote-Desktop-Software in den Laptop auf der Farm.
Aus der Perspektive des Arbeitgebers entsteht die Sitzung des Mitarbeiters. von einer US-IP für Wohnungen Während der US-Geschäftszeiten auf einer Firmenadresse -ausgestattetes Gerät.
Alle Telemetrie ist sauber. Stufe 5. Der Facilitator. Die Rolle des Facilitators ist es, einen Service zu erbringen.
Es ist strukturell. Empfangen Sie Sendungen. Power die Geräte. Handeln Sie gelegentlich IT-Tätigkeiten vor Ort.
Prozesslohnüberprüfungen durch Shell-Unternehmen in kontrollierte Konten von Ko-Konspiratoren Im Ausland. Im April 2026 wird ein Bundesgericht in Massachusetts eintreten
Verurteilt wurden zwei New Jersey-Bürger, Kajiya Wong und Zhenxing Wong, keine Beziehung, zu neun Sieben und ein halbes Jahr in Gefängnis,
Das ist der Fall. Die beiden wurden zu vier Jahren Haftstrafe verurteilt. Gefängnis. Das Gericht des Gerichts wird Kajiya zu einem Urteil verurteilen.
Wong und Zhenxing Wong zu neun Jahren und Sieben sieben Jahre im Gefängnis, während Kajiya Wong verurteilt wird Von 10 bis zu 10 Jahren und achtinhalb
In Jahren in Jahren Gefängnis. Kajiya Wong und Zhenxing Wong lebten zusammen in Die Transformationsbreite von southern LA.
Kajiya Wong tunkt aus, lebt alleine, macht stark Da er wusste, dass er ein Verbrecher war, hält er sich immer wieder vor. C kommuniziert mit ihren Kollegen an der UO. Sie haben Dutzende.
Wenn es um Dubbing geht, dann spielt nichts eine Rolle und Sie sind zehn Jahre jünger als die Yüheere. Das Interessanteste an allen Debüts ist: dass der Kapitän Stant für die Tetra arbeitete.
Er war damit beschäftigt, sich zu frisieren und heute ist es so. Denken Sie an Maisel und schreiben Sie Spiele in seinem Buch. Mit Haar persönliche Werte.
Ihre Tätigkeit berührte mehr als 300 amerikanische Unternehmen. und über 17 Millionen Dollar nach Nordkorea geleitet. Sie bekannte sich schuldig und erhielt ein Urteil von 102 Monate.
Die Operation von Chapman gefährdet die persönlichen Identitäten von Mindestens 60 Amerikaner. Ihr Haus war drei Jahre lang von verbunden. Glasfaser für ein Atomwaffenprogramm auf
Auf der anderen Seite der Welt. Zurück in Clearwater. Zurück zum 25-minütigen Fenster. Das Sicherheitsbetriebszentrum von Nr. B-4 wurde von
Automatische Erkennung, die sich an den neuen Mitarbeiter richtet um nach der anomalen Aktivität zu fragen. Der Mitarbeiter antwortete, er folge einem Router-Fehler-Fehler, dass es verursacht haben könnte
Ein falscher Alarm. Das Sicherheitsteam von No B-4 bat um eine Live-Aufnahme. Call. Call. Der Mitarbeiter sagte, er sei nicht verfügbar.
Kurz darauf wurde er unreaktiv. Um 22.020 Uhr ist es Eastern Time, seine Arbeitsstation wurde eingeschlossen. Die Nummer B-4 machte den Vorfall in der Öffentlichkeit.
Ein detaillierter Blogbeitrag, der von seinem Chef verfasst wurde. Der Geschäftsführer ist Stu Schauerman. Der Beitrag beschrieb die spezifischen technischen Maßnahmen, die ergriffen wurden. von dem Betreiber.
Er benutzte einen Raspberry Pi, um den zu herunterladen. Malware. Malware. Die Malware war ein Info-Stealer. Ziel waren die in einem Browser hinterlassenen Anmeldeinformationen.
Residuelle Authentifizierungs-Token aus den vorherigen Sitzungen des Laptops Provisioning. Die Absicht des Betreibers war es, das zu ernten, was noch übrig war. Auf der Maschine, bevor sie vollständig war
gesichert. Kein Kundendaten wurde ausgesetzt. Der Betreiber wurde beendet, bevor er breiteren Zugang bekam. Aber der Betreiber hatte alle Vorbeschäftigungen freigelassen
Hintergrundkontrolle, Hintergrundprüfung, Phänotyp, Identitätsprüfung, vier Videos Interviews mit vier verschiedenen Teammitgliedern. Alle hatten mit jemandem gesprochen, der es nicht existierte.
Das Justizministerium der Vereinigten Staaten hat, wie es ist, Von dieser Aufnahme sind mindestens vier Hauptvorteile freigegeben Anklagevorgaben in Verbindung mit dem System. Mehr als 29 Laptop-Farmen wurden durchsucht
16 Staaten durch. Das FBI hat im Mai öffentliche Hinweise veröffentlicht 2022, Oktober 2023, Mai 2024. Der Druck der Strafverfolgung hat die Operation nicht verursacht
Um einen Vertrag zu schließen. Ein Forscher von Nr. B-4 verglich den Wirtschaft bis zum Drogengeschäft. Für jeden verhaften Vermittler stehen bereits zwei Personen zur Verfügung.
um sie zu ersetzen. Die Versorgung mit in den USA ansässigen Ko-Konspiratoren ist Steigerung. Ob finanziell motiviert oder teilweise betrogen, übersteigt die Staatsanwaltschaft
Durchsatz. Der strukturelle Grund ist die Asymmetrie des Arbeitsmarktes. Fernbesuch ist ein globaler, asynchroner Prozess. Identitätsprüfung bei den meisten amerikanischen Unternehmen bleibt ein Problem.
Domestic, synchrones, einziges. Eine gestohlene Sozialversicherungsnummer wird eine Anmeldung durchlaufen. Automatischer Kreditprüfung. Ein gekaufter LinkedIn-Eindruck sieht identisch aus wie ein
Ein organischer. Ein Laptop, der in die USA versandt wurde Der Postleitzahl präsentiert sich als Laptop in der Die Vereinigten Staaten.
Die Betreiber besiegen diese Systeme nicht. Sie gehen genau so durch, wie sie entworfen wurden. Viele von ihnen tun auch den Job. Ein erheblicher Teil der nordkoreanischen Betreiber liefert
legitimes Software-Engineering-Work. Ihre amerikanischen Arbeitgeber erhalten einen Funktionscode, erfüllen Fristen, und akzeptablen Leistungsbewertungen. Die Ausfiltration von Gehältern ist der gesamte Prozess.
Die Ausfiltration von Daten, wenn sie geschieht, ist Eine Sekundärerntung. Die Frage, auf die sich die Öffentlichkeit nicht antworten lässt. Informationen sind, wie viele Betreiber innerhalb des Betriebs beschäftigt bleiben
Amerikanische Unternehmen in diesem Moment. Mandiants Beurteilung zufolge ist fast jeder Fortune 500-Chef Ein Informationssicherheitsbeauftragter hat zugegeben, dass er zumindest Ein bekannter Fall errichtet einen Boden, nicht einen .
Das Decken. Die zugelassenen Fälle sind diejenigen, die erkannt wurden. Die nicht entdeckten Fälle bleiben per Definition in der Gehaltsliste Systeme. Systeme.
Keine Verschlüsselung besiegt diesen Angriff. Keine Netzwerksegmentierung schließt sie. Keine Firewall erkennt einen Mitarbeiter an, der legitim war Angestellt.
Die Verteidigung der Oberfläche ist die menschliche Ressourcen. Die Falldatei bleibt offen. Ab April 2026 waren zwei der am meisten Vor kurzem wurden Anklagebegleiter in den USA verurteilt.
Massachusetts. Massachusetts. Neun weitere Personen, die mit demselben Betrieb verbunden sind bleiben Sie frei. Die USA
Das Außenministerium bietet einen Preis von 5 Millionen Dollar an. Für Informationen, die zur Verhaftung der Personen führen, die verhaftet werden. Noch außerhalb der Gewahrsamkeit. Abteilung 53 in Pjöngjang ist weiterhin tätig.
Fragment Zero wird die Falldatei verfolgen. Wenn ein amerikanisches Unternehmen das nächste Mal eine Website veröffentlicht, veröffentlicht es einen Eine Remote-Software-Engineering-Rolle, etwa eine in einem Tausend Anträge werden gemeldet.
Die Verteidigung der Frage ist nicht, ob ein Diese Operation wird die Organisation begegnen. Es geht darum, ob die Organisation das bemerkt.
