The Ghost Employee: Department 53 and the North Korean Remote Workforce
THE GHOST EMPLOYEE
Department 53 and the North Korean Remote Workforce
15 de julio de 2024, Clearwater, Florida, 9.055 p .m.m. Es hora del este. Una alerta de seguridad se dispara dentro de los sistemas de vigilancia
de NoB4, Una empresa de capacitación en ciberseguridad con más de 50 millones de dólares. Los usuarios en 54.000 organizaciones. Las señales de alerta señalan la actividad anómala en un nuevo sistema.
Estación de trabajo provisión. La estación de trabajo fue entregada a la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina de la oficina Un ingeniero de software principal recién contratado. Había pasado cuatro entrevistas por video.
Sus referencias habían verificado. Su investigación de antecedentes había vuelto limpia. El ingeniero tiene 25 minutos para su primera cita. El turno.
Está instalando malware en la estación de trabajo, entregado a través de un Pi de frambuesa conectado al mismo Red. red. Su fotografía es una imagen de stock modificada por
La inteligencia artificial. Su nombre pertenece a un verdadero estadounidense. Nunca se ha conocido. Su ubicación física real es o dentro del norte
Corea o a través de la frontera en el noreste de China. Este no es un incidente aislado. NoB4 es una empresa que enseña a otras organizaciones ¿Cómo detectar exactamente este tipo de amenazas?
No fueron el primer objetivo. No eran el centésimo. Este es un archivo de un caso sobre un trabajo de parto mercado con un adversario incrustado dentro de él.
El demócrata... La República Popular Democrática de Corea ha tenido, desde entonces, 2011, aproximadamente aproximadamente. buscó la tecnología de la información como una prioridad nacional estratégica.
La directiva se origina con el consentimiento de Kim Jong-un. Bajo sanciones que aislan al régimen de la globalización El comercio, las corrientes de ingresos convencionales se han reducido. Las operaciones cibernéticas, el robo, el espionaje, el fraude se han expandido a
Llena el vacío. El programa específico en este caso se ejecuta por una unidad designada por el Departamento 53. Para demostrar esto el Departamento de Corea del Sur
El ccl Expertsare ¿Son son De 6.800 en 2022 a 8.400 desde 6.800 en 2022.
En 2024. El aumento sigue el seguimiento de la expansión del trabajo remoto Las normas después de la pandemia. U.S.
Las estimaciones gubernamentales colocan los ingresos anuales colectivos de Esto es esto esto esto esto La fuerza laboral en más de $500 millones. Los operadores individuales pueden generar hasta $300,000
Por año, a veces por holding múltiples posiciones simultáneas en diferentes compañías estadounidenses. La mayor parte de los ingresos fueron blanqueados a través de chinos Cuentas
y se dirigió de vuelta a Pyongyang. Financia directamente al régimen, incluyendo, según la ley, U.S. Las designaciones del Tesoro, sus programas de armas de destrucción masiva.
El FBI clasifica este esquema como un sistema de investigación. Como un an Una amenaza activa a la seguridad nacional. Ha estado operando a gran escala desde el año 2000.
Por lo menos en 2018. La mecánica se desarrolla en seis etapas. Estadio 1. Fabricación de identidad.
El operador adquiere la información personal de un usuario. Un ciudadano estadounidense real, Por lo general, a través de los canales de robo de identidad disponibles en el La web oscura.
Nombre legal completo. Número de Seguro Social. Fecha de nacimiento. Historia del empleo.
En un caso federal, una sola operación fue comprometida. las identidades de más de 80 personas Esos son estadounidenses. El operador construye entonces una identidad profesional en
La parte superior de la robada. Un perfil de LinkedIn con información fabricada. Un historial de trabajo fabricado. Una cuenta de GitHub con código que a menudo es
Se han raspado o clonado. Una fotografía pasable, a menudo una imagen de stock, editada La IA generativa para hacer a través de Las búsquedas de imágenes invertidas fallan.
Etapa 2. La aplicación. El operador se aplica a posiciones remotas, típicamente. Ingeniería de software,
El desarrollo front-end, o roles de pila completa. Algunas solicitudes se enrutan a través de agencias de contratación de personal. Algunos van directamente. Estadio 3.
La entrevista. La mayoría de los empleadores estadounidenses realizan entrevistas por video para personas remotas. Las posiciones. El operador asiste con la cámara encendida.
Respuestas pre-praticiadas. En casos más sofisticados, la tecnología de sustitución facial es Se utiliza para mapear un artefacto sintético o vivo imagen en el rostro del operador en tiempo real.
Según la firma de ciberseguridad SentinelOne, aproximadamente 1 ,000 solicitudes de empleo recibidas por La compañía en los últimos años ha sido vinculada a la sospecha de normalización.
La compañía ha estado en el negocio desde El comienzo de su existencia. Según Mandiant, una compañía que ha sido Una importante fuente de información para el
Según Mandiant, ahora una unidad de Google En la nube, casi todas las principales informaciones de Fortune 500 Un oficial de seguridad entrevistado sobre el tema ha reconocido que ha sido que su empresa tiene,
Con o sin saberlo, contrató al menos uno. Estadio 4. El envío. Al contratar, la compañía emite un portátil, típicamente.
Un MacBook. El operador proporciona una dirección de envío en los Estados Unidos. La dirección nunca es la residencia reclamada. Los clientes de la compañía a menudo son los mismos.
Son el hogar de un facilitador o un lugar comercial. Esta es la granja de portátiles. La granja de portátiles es el anclaje físico de la operación. Una instalación típica es una residencia o un pequeño edificio.
espacio comercial, en algún lugar de los Estados Unidos Los estados, operados por un facilitador, a menudo un estado de EE.UU. ciudadano, a veces compensado, a veces ciudadano Sólo es parcialmente consciente de la estructura completa.
En el interior, docenas de ordenadores portátiles emitidos por los empleadores están conectados a una única red local. Cada portátil tiene una red separada. Cada portátil está configurado para un acceso remoto persistente.
El operador, físicamente en Corea del Norte o a través de la frontera, puede estar en Corea del Norte. La frontera china, se conecta a través de una VPN El software comercial de escritorio remoto o en el portátil En la granja.
Desde la perspectiva del empleador, la sesión del empleado se origina desde una IP residencial estadounidense Durante las horas de negocios de EE.UU. en una dirección de la empresa -dispositivo emitido.
Toda la telemetría está limpia. Estadio 5. El Facilitador. El rol del facilitador es proporcionar un servicio.
Es estructural. Reciben envíos. Enciende los dispositivos. Manejar tareas informáticas ocasionalmente en el sitio.
Procesan los cheques de pago a través de compañías con capas en cuentas controladas por co-conspiradores En el extranjero. En abril de 2026, un tribunal federal en Massachusetts
condenó a dos residentes de Nueva Jersey, Kajiya. Wong y Zhenxing Wong, sin relación alguna, a nueve. Siete años y medio en la cárcel. La prisión, la prisión,
respectivamente. Los dos fueron sentenciados a cuatro años de prisión. prisión. El tribunal de la corte está dispuesto a condenar a Kajiya
Wong y Zhenxing Wong a nueve años y a Siete siete siete siete años de prisión mientras Kajiya Wong es sentenciada De 10 a 10 años y ocho años y medio
En años en años prisión. Kajiya Wong y Zhenxing Wong vivieron juntos en La latitud de transformación del sur de LA.
Kajiya Wong está sintonizando, viviendo sola, haciendo fuerte Sabiendo que era un criminal, se mantiene C se comunica con sus compañeros en la UO. Hay decenas de ellas.
Cuando se trata de doblar, nada importa y Son diez años más jóvenes que ellos. La parte más interesante de todos los debutes es que que el capitán, Stant, trabajaba para el Tetra.
Se pasaba haciendo su pelo y hoy es hoy Piensa en Maisel y escribe juegos en su lenguaje. Con el pelo Los valores personales.
Su operación afectó a más de 300 compañías estadounidenses. y canalizó más de 17 millones de dólares a Corea del Norte. Se declaró culpable y recibió una sentencia de 102 meses.
La operación de Chapman comprometió las identidades personales de los miembros de la organización. Al menos 60 estadounidenses. Su casa estuvo, durante tres años, conectada por La fibra óptica de un programa de armas nucleares en la Tierra
Al otro lado del mundo. Regreso a Clearwater. Regresa a la ventana de 25 minutos. No B-4's centro de operaciones de seguridad, alertado por
Detección automática, contactando con el nuevo empleado Para preguntar sobre la actividad anómala. El empleado respondió que estaba siguiendo a un Guía de solución de problemas del router, que puede haber causado
Una falsa alarma. El equipo de seguridad de No B-4 solicitó un video en vivo. Llamada. El empleado dijo que no estaba disponible.
Poco después, se volvió poco sensible. A las 10.020 p.m. Eastern Time, su estación de trabajo estaba contenida. El número B-4 hizo público el incidente en la
Una publicación detallada en el blog escrita por su jefe El ejecutivo, Stu Schauerman. El post describe la acción técnica específica tomada por el operador.
Usó un Raspberry Pi para descargar el libro. Malware. Malware. El malware era un informador. Su objetivo era los datos credenciales dejados en el navegador
sesiones, tokens de autenticación residuales de las sesiones anteriores del portátil El provisión. La intención del operador era cosechar lo que quedaba. En la máquina antes de que hubiera sido completamente
asegurado. No se expusieron datos de clientes. El operador fue terminado antes de obtener un acceso más amplio. Pero el operador había eliminado todos los preemplazos.
Control de antecedentes, verificación de fenótipos, verificación de identidad, cuatro videos Entrevistas con cuatro miembros diferentes del equipo. Todos ellos habían hablado con alguien que les había dado una oportunidad. no existía.
El Departamento de Justicia de los Estados Unidos ha hecho, como De esta grabación, se despejó al menos cuatro grandes Acusaciones relacionadas con el esquema. Se han registrado más de 29 granjas de portátiles
En 16 estados. El FBI emitió avisos públicos en mayo. El año 2022, octubre 2023, mayo 2024. La presión de la fuerza no ha causado la operación
para contratar. Un investigador de No B-4 comparó el La economía hasta el narcotráfico. Por cada facilitador arrestado, dos ya están disponibles.
para reemplazarlos. El suministro de co-conspiradores con sede en Estados Unidos es creciendo. Ya sea que esté motivado financieramente o parcialmente engañado, excede el proceso fiscal
El rendimiento. La razón estructural es la asimetría del mercado laboral. La contratación remota es un proceso global y asíncrono. La verificación de identidad en la mayoría de las empresas estadounidenses sigue siendo una tarea difícil.
Una doméstica, sincrónica. Un número de Seguro Social robado pasará un número de seguro social robado. Verificación de crédito automática. Un endoso de LinkedIn comprado se ve idéntico a un endoso de LinkedIn.
Uno orgánico. Una computadora portátil enviada a un U.S. El código postal se presenta como un portátil en el Estados Unidos.
Los operadores no derrotan a estos sistemas. Pasan a través de ellos exactamente como se diseñó. Muchos de ellos también hacen el trabajo. Una parte significativa de los operadores norcoreanos entrega
Trabajo legítimo de ingeniería de software. Sus empleadores estadounidenses reciben un código funcional, cumplen con los plazos, y evaluaciones aceptables de rendimiento. La exfiltración de salarios es todo el proceso.
La exfiltración de datos cuando ocurre es Una cosecha secundaria. La pregunta que no puede ser contestada por el público La información es cuántos operadores siguen empleados dentro
Empresas estadounidenses en este momento. La evaluación de Mandiant es que casi todos los jefes de Fortune 500 El oficial de seguridad de la información ha admitido al menos Un caso conocido establece un piso, no un.
El techo. Los casos admitidos son los que fueron detectados. Los casos no detectados permanecen, por definición, en la nómina sistemas.
Ningún cifrado derrota este ataque. Ninguna segmentación de red lo cierra. Ningún firewall reconoce a un empleado que fuera legítimamente responsable. contratado.
La defensa de la superficie es el recurso humano. El archivo del caso sigue abierto. A partir de abril de 2026, dos de los más Los facilitadores recientemente acusados están cumpliendo sentencias federales en
Massachusetts. Nueve personas adicionales conectadas a la misma operación permanecen en libertad. Los EE.UU.
El Departamento de Estado ofrece una recompensa de 5 millones de dólares. Para obtener información que conduzca al arresto de aquellos que se encuentran en la cárcel. Aún están fuera de custodia. El Departamento 53 en Pyongyang continúa operando.
Fragment Zero rastreará el archivo del caso. La próxima vez que una compañía estadounidense publique un mensaje, Un papel de ingeniería de software remoto, aproximadamente uno en cada uno. Se informarán miles de solicitudes.
La defensa de la pregunta no es si un La organización encontrará esta operación. Es si la organización se dará cuenta.
