The Ghost Employee: Department 53 and the North Korean Remote Workforce
THE GHOST EMPLOYEE
Department 53 and the North Korean Remote Workforce
Le 15 juillet 2024, Clearwater, Floride, est à 9.055 p .m.m. À l'heure de l'Est. Une alerte de sécurité s'allume à l'intérieur des systèmes de surveillance
de NoB4, Une société de formation en cybersécurité avec plus de 50 millions de dollars Il y a des utilisateurs dans 54 000 organisations. Les alertes signalent une activité anormale sur un nouvel appareil.
Une station de travail fournie. La station de travail a été livrée plus tôt ce jour-là à Un ingénieur en logiciel principal nouvellement engagé. Il avait passé quatre interviews vidéo.
Ses références avaient été vérifiées. Son enquête de fond était revenue sans problème. L'ingénieur est à 25 minutes de son premier test. Le changement.
Il installe des logiciels malveillants sur sa poste de travail, livrés via un Raspberry Pi connecté au même réseau. réseau. Sa photographie est une image stock modifiée par
L'intelligence artificielle. Son nom appartient à un vrai Américain. n'a jamais rencontré. Son emplacement physique réel est soit dans le Nord
La Corée ou à travers la frontière dans le nord-est de la Chine. Ce n'est pas un incident isolé. NoB4 est une entreprise qui enseigne aux autres organisations Comment détecter exactement ce type de menace.
Ils n'étaient pas la première cible. Ils n'étaient pas le centenaire. Il s'agit d'un dossier sur un travail de travail. Un marché avec un adversaire intégré à l'intérieur.
Le démocrate... La République populaire démocratique de Corée a, depuis, En 2011, approximativement Il a poursuivi la technologie de l'information comme une priorité nationale stratégique.
La directive est issue du consentement de Kim Jong-un. Sous des sanctions qui isolent le régime du monde entier Le commerce, les flux de revenus conventionnels ont diminué. Les cyberopérations, le vol, l'espionnage, la fraude ont été étendus à
Remplissez le vide. Le programme spécifique dans ce cas est exploité par une unité désignée par le département 53. Pour démontrer cela, le département coréen a lancé une ligne
Ccl Les experts sont là. sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont sont De 6800 en 2022 à 8 400, il est passé de 6800 en 2022.
En 2024, il est possible de le faire. L'augmentation suit l'expansion du travail à distance Les normes après la pandémie. Les États-Unis
Les estimations gouvernementales placent les revenus annuels collectifs de Ce qui est vrai, c'est que cela Une main-d'œuvre de plus de 500 millions de dollars. Les opérateurs individuels peuvent générer jusqu'à 300 000 $
par an, parfois en tenant Plusieurs postes simultanés dans différentes entreprises américaines. La plupart des revenus ont été blanchis par le biais des Chinois Les comptes
et a été renvoyée à Pyongyang. Il finance directement le régime, y compris, selon les règles de l'État. Les États-Unis Les désignations du Trésor, ses programmes d'armes de destruction massive.
Le Federal Bureau of Investigation classifie ce système comme étant un système de police. En tant qu'an Une menace active pour la sécurité nationale. Il fonctionne à grande échelle depuis le début de l'ère de l'énergie.
Au moins en 2018. La mécanique se déroule en six étapes. Étape 1. Fabrication d'identité.
L'opérateur acquiert les informations personnelles d'un C'est un vrai citoyen américain, Généralement par le biais de canaux de vol d'identité disponibles sur le Le dark web.
Nom légal complet. Le numéro de sécurité sociale. Date de naissance. L'histoire de l'emploi.
Dans un cas fédéral, une seule opération a été compromise. les identités de plus de 80 personnes Américains. L'opérateur construit alors une identité professionnelle sur
Le dessus de celui volé. Un profil LinkedIn avec des informations fabriquées. Un historique d'emploi fabriqué. Un compte GitHub avec du code qui est souvent utilisé
Scraped ou cloné. Une photographie passable, souvent une image en stock, édite L'IA générative pour faire passer Les recherches d'images inversées échouent.
Étape 2. L'application. L'opérateur s'applique aux positions à distance seulement, généralement ingénierie logicielle,
Le développement front-end, ou les rôles de plein piquet. Certaines demandes sont parcourues par des agences de recrutement. Certains vont directement. Étape 3.
L'entrevue. La plupart des employeurs américains mènent des entretiens vidéo pour des utilisateurs distants. Les positions. L'opérateur assiste avec la caméra allumée.
Des réponses pré-préhensives. Dans des cas plus sophistiqués, la technologie de substitution faciale est utilisé pour cartographier un synthétique ou un live image sur le visage de l'opérateur en temps réel.
Selon la firme de cybersécurité SentinelOne, environ 1 ,000 demandes d'emploi reçues par La société a été liée ces dernières années à la normalité soupçonnée.
La société est en affaires depuis Le début de son existence. Selon Mandiant, une entreprise qui a été Une source importante d'information pour le
Selon Mandiant, maintenant une unité de Google Le cloud, presque toutes les informations principales du Fortune 500 Un agent de sécurité interrogé sur le sujet a reconnu avoir reconnu que leur entreprise a,
Consciemment ou inconsciemment, il en a engagé au moins un. Étape 4. Le transport. Lorsqu'elle est louée, l'entreprise émet un ordinateur portable, généralement
Un MacBook. L'opérateur fournit une adresse de transport aux États-Unis. L'adresse n'est jamais la résidence revendiquée. Les clients de l'entreprise sont souvent les mêmes.
Ils sont soit le domicile d'un facilitateur, soit un lieu commercial. C'est la ferme des ordinateurs portables. La ferme de l'ordinateur portable est l'ancre physique de l'opération. Une installation typique est une résidence ou une petite maison.
espace commercial, quelque part aux États-Unis Les États-Unis, exploités par un facilitateur, souvent un États-Unis citoyen, parfois rémunéré, parfois citoyen Il ne connaît que partiellement la structure complète.
À l'intérieur, des dizaines d'ordinateurs portables émis par l'employeur sont connectés à un seul réseau local. Chaque ordinateur portable dispose d'un réseau séparé. Chaque ordinateur portable est configuré pour un accès à distance persistant.
L'opérateur, physiquement en Corée du Nord ou à travers le monde, La frontière chinoise, se connecte via un VPN Un logiciel de bureau à distance commercial ou commercial est introduit dans l'ordinateur portable à la ferme.
Du point de vue de l'employeur, la session de l'employé est à l'origine à partir d'une adresse IP résidentielle américaine Pendant les heures de travail aux États-Unis, une entreprise doit être placée à l'adresse de son entreprise. - le dispositif émis.
Toutes les télémétrie sont propres. Étape 5. Le Facilitateur. Le rôle du facilitateur est de fournir un service.
C'est structurel. Recevez des envois. Réglez les appareils. Travaillez occasionnellement avec des tâches informatiques sur place.
Le processus de paiement par l'intermédiaire de sociétés de coque dans des comptes contrôlés par des co-conspirateurs à l'étranger. En avril 2026, un tribunal fédéral du Massachusetts a été élu.
condamné à deux résidents du New Jersey, Kajiya Wong et Zhenxing Wong, sans relation, sont neuf. Sept ans et demi et sept ans et demi en prison. La prison,
respectivement. Les deux ont été condamnés à quatre ans de prison. prison. Le tribunal du tribunal est sur le point de condamner Kajiya
Wong et Zhenxing Wong à neuf ans et à peine. Sept sept Des années de prison pendant que Kajiya Wong est condamnée De 10 à 10 ans et huit ans et demi
En quelques années, il y a eu des années. prison. Kajiya Wong et Zhenxing Wong vivaient ensemble à La latitude de transformation du sud de LA.
Kajiya Wong est en train de sortir, de vivre seule, de faire fort Sachant qu'il était un criminel, il ne cesse de le faire. C communique avec ses pairs à l'UO. Vous avez des dizaines.
Quand il s'agit de doubler, rien n'a d'importance et Ils sont 10 ans plus jeunes que les Yūheere. La partie la plus intéressante de toute première est que que le capitaine, Stant, travaillait pour le Tetra.
Il était passé à se faire les cheveux et aujourd'hui il est Pensez à Maisel et écrivez des jeux dans son livre. Avec des cheveux Les valeurs personnelles.
Son opération a touché plus de 300 entreprises américaines. Il a envoyé plus de 17 millions de dollars en Corée du Nord. Elle a plaidé coupable et a reçu une condamnation à peine de... 102 mois.
L'opération de Chapman a compromis les identités personnelles de l'équipe de l'équipe. Au moins 60 Américains. Pendant trois ans, sa maison a été reliée par un réseau de télécommunications. La fibre optique est utilisée pour un programme d'armes nucléaires sur le sol.
de l'autre côté du monde. Retour à Clearwater. Retour à la fenêtre de 25 minutes. Le centre d'opérations de sécurité du B-4, alerté par le personnel du B-4
Détection automatisée, contactée par le nouvel employé Pour enquêter sur l'activité anomalie. L'employé a répondu qu'il suivait un Guide de dépannage du routeur, qui a pu être causé
Une fausse alarme. L'équipe de sécurité du B-4 a demandé un appel en direct. appel. appel. L'employé a dit qu'il était indisponible.
Peu après, il est devenu réactif. À 10h020 du soir Eastern Time, son poste de travail était contenu. Le numéro B-4 a rendu public l'incident en
Un article de blog détaillé écrit par son chef Le directeur, Stu Schauerman. Le message décrit les mesures techniques spécifiques prises par l'opérateur.
Il a utilisé un Raspberry Pi pour télécharger le Malware. Malware. Le malware était un voleur d'informations. Son objectif était de laisser des données de crédibilité dans le navigateur.
Les séances d'authentification restantes, les jetons d'authentification restants du précédent ordinateur portable Le provisionnement. L'intention de l'opérateur était de récolter ce qui restait. sur la machine avant qu'elle ne soit entièrement utilisée.
sécurisé. Aucune donnée de clientèle n'a été exposée. L'opérateur a été résilié avant d'avoir un accès plus large. Mais l'opérateur avait éliminé tous les emplois préalables
Contrôle des antécédents, vérification du phénotype, vérification de l'identité, quatre vidéos Des entretiens avec quatre membres différents de l'équipe. Ils avaient tous parlé à quelqu'un qui les avait entendus. n'existait pas.
Le département de la Justice des États-Unis a, comme il l'a fait, De ce enregistrement, au moins quatre majors ont été dévoilés. Des accusations liées au régime. Plus de 29 fermes d'ordinateurs portables ont été fouillées
16 États à travers. Le FBI a publié des avis publics en mai. Il est prévu pour 2022, octobre 2023, mai 2024. La pression exercée par les forces de l'ordre n'a pas causé l'opération
pour conclure un contrat. Un chercheur du B-4 a comparé le l'économie au commerce de la drogue. Pour chaque facilitateur arrêté, deux sont déjà disponibles
pour les remplacer. L'offre de co-conspirateurs basés aux États-Unis est augmentant. Que ce soit financièrement motivé ou partiellement trompé, cela dépasse le pouvoir public.
Le débit. La raison structurelle est l'asymétrie du marché du travail. L'embauche à distance est un processus global et asynchrone. La vérification de l'identité dans la plupart des entreprises américaines reste un problème.
domestique, synchrone et synchrone. Un numéro de sécurité sociale volé passera un numéro de sécurité sociale. Vérifiez automatiquement le crédit. Une endorsement LinkedIn acheté ressemble à un support LinkedIn acheté.
Un seul. Organique. Un ordinateur portable expédié vers un U.S. Le code postal se présente comme un ordinateur portable dans le États-Unis.
Les opérateurs ne sont pas en mesure de vaincre ces systèmes. Ils passent à travers eux exactement comme ils ont été conçus. Beaucoup d'entre eux font aussi le travail. Une partie importante des opérateurs nord-coréens fournissent des services
Un travail légitime en ingénierie logicielle. Leurs employeurs américains reçoivent un code fonctionnel, des délais de travail, et des évaluations de performance acceptables. L'exfiltration des salaires est le processus tout entier.
L'exfiltration des données lorsque cela se produit est une récolte secondaire. La question à laquelle le public ne peut répondre L'information est combien d'opérateurs restent employés à l'intérieur
Des entreprises américaines en ce moment. Selon Mandiant, presque tous les chefs du Fortune 500 Un responsable de la sécurité de l'information a admis au moins avoir fait des erreurs. Un cas connu établit un plancher, pas un .
Le plafond. Les cas admis sont ceux qui ont été détectés. Les cas non détectés restent, par définition, sur la liste de paie Les systèmes.
Aucun chiffrement ne vainc cette attaque. Aucune segmentation de réseau ne la ferme. Aucun pare-feu ne reconnaît un employé qui a été légitimement engagés.
La défense de la surface est le travail des ressources humaines. Le dossier de l'affaire reste ouvert. En avril 2026, deux des plus grands défis ont été enregistrés. Des facilitateurs récemment accusés purgent des peines fédérales en
Le Massachusetts. Neuf autres personnes connectées à la même opération rester à la libre circulation. Les États-Unis
Le département d'État offre une récompense de 5 millions de dollars. Pour obtenir des informations qui mènent à l'arrestation de ces personnes encore en dehors de la garde. Le département 53 de Pyongyang continue à fonctionner.
Fragment Zero suivra le dossier de l'affaire. La prochaine fois qu'une entreprise américaine publie un article, elle publiera un article. Un rôle d'ingénieur en logiciel à distance, environ un en un Des milliers de demandes seront signalées.
La défense de la question n'est pas de savoir si un L'organisation rencontrera cette opération. C'est la question de savoir si l'organisation le remarquera.
