The Ghost Employee: Department 53 and the North Korean Remote Workforce
THE GHOST EMPLOYEE
Department 53 and the North Korean Remote Workforce
15 luglio 2024, Clearwater, Florida, 9.055 pagine .m. Orario orientale. Un allarme di sicurezza si attiva all'interno dei sistemi di monitoraggio
di NoB4, Una società di formazione per la sicurezza informatica con oltre 50 milioni di dollari Gli utenti in 54.000 organizzazioni. L'allarme segnala un'attività anomalia su un nuovo dispositivo.
Stazione di lavoro provvisoria. La stazione di lavoro è stata consegnata prima di quel giorno a un ingegnere software principale appena assunto. Aveva superato quattro interviste video.
I suoi riferimenti erano stati verificati. La sua indagine sui contesti era tornata pura. L'ingegnere ha 25 minuti per la sua prima operazione. Sconvolgimento.
Sta installaendo malware sulla postazione di lavoro, consegnato tramite un Raspberry Pi collegato allo stesso Rete. Rete. La sua fotografia è un'immagine di magazzino modificata da
Intelligenza artificiale. Il suo nome appartiene a un vero e proprio americano. non si è mai incontrato. La sua vera posizione fisica è all'interno del Nord
Corea o oltre il confine nel nord-est della Cina. Questo non è un incidente isolato. NoB4 è una società che insegna altre organizzazioni Come rilevare esattamente questo tipo di minaccia.
Non erano il primo bersaglio. Non erano la centesima. Questo è un caso di un lavoro di parto. Un mercato con un avversario incorporato all'interno.
Il democratico... La Repubblica Popolare Democratica di Corea ha, da allora, Nel 2011, circa circa. ha perseguito le tecnologie dell'informazione come una priorità nazionale strategica.
La direttiva ha avuto origine con l'assentamento di Kim Jong-un. In base a sanzioni che isolano il regime dal mondo globale Il commercio, i flussi di entrate convenzionali sono diminuiti. Le operazioni informatiche, il furto, lo spionaggio, la frode si sono estese fino a
Riempi il vuoto. Il programma specifico in questo caso è gestito da un'unità designata dal Dipartimento 53. Per dimostrare questo il Dipartimento coreano
ccl Expertsare sono sono Dal 6.800 nel 2022 a 8.400.
Nel 2024. L'aumento segue l'espansione del lavoro remoto Norme dopo la pandemia. U.S.
Secondo le stime governative, il guadagno annuale collettivo di Questo è il risultato di questa storia. La forza lavoro supera i 500 milioni di dollari. I singoli operatori possono generare fino a $300,000
Ogni anno, a volte con il holding. Molte posizioni simultanee in diverse società americane. La maggior parte dei ricavi è stata lavata attraverso i cinesi Conti account
e rimandato a Pyongyang. Finanzia direttamente il regime, incluso, secondo il suo ordine, il regime. U.S. Le designazioni del Tesoro, i suoi programmi di armi di distruzione di massa.
Il Federal Bureau of Investigation classifica questo schema Come un Una minaccia attiva alla sicurezza nazionale. È operativo su larga scala da quando è nato.
almeno nel 2018. La meccanica procede in sei fasi. Fase 1. La fabbricazione di identità.
L'operatore acquista le informazioni personali di un'azienda. Un vero cittadino americano, Di solito attraverso i canali di furto di identità disponibili su Internet. Il dark web.
Nome legale completo. Numero di sicurezza sociale. Data di nascita. Storia dell'occupazione.
In un caso federale, una singola operazione è stata compromessa. le identità di più di 80 persone Americani. L'operatore costruisce quindi un'identità professionale su.
La parte superiore di quella rubata. Un profilo LinkedIn con informazioni inventate. Una storia di lavoro inventata. Un account GitHub con codice che è spesso usato.
Scraped o cloned. Una fotografia passabile, spesso una foto in magazzino, modificata AI generativa per fare attraverso Le ricerche di immagini inverse falliscono.
Fase 2. L'applicazione. L'operatore si applica alle posizioni solo a distanza, in genere. Ingegneria software,
Lo sviluppo front-end, o ruoli full-stack. Alcune domande vengono indirizzate attraverso agenzie di staffing. Alcuni vanno direttamente. Fase 3.
L'intervista. La maggior parte dei datori di lavoro americani esegue video interviste per i telecomandi. Le posizioni. L'operatore si presenta con la fotocamera accesa.
Risposte pre-pratizzate. In casi più sofisticati, la tecnologia di sostituzione del viso è Usato per mappare un'operazione sintetica o live Immagine sul viso dell'operatore in tempo reale.
Secondo la società di sicurezza informatica SentinelOne, circa 1 ,000 domande di lavoro ricevute da L'azienda negli ultimi anni è stata collegata a sospettata normalizzazione.
La società è nel business da l'inizio della sua esistenza. Secondo Mandiant, una società che è stata Una fonte importante di informazioni per il
Secondo Mandiant, ora un'unità di Google Il cloud, quasi tutte le informazioni principali della Fortune 500 Un ufficiale di sicurezza intervistato sul tema ha riconosciuto che ha che la loro azienda ha,
Conosciuto o inconsapevole, ne ha assunto almeno uno. Fase 4. La spedizione. In affitto, l'azienda emette un laptop, tipicamente.
Un MacBook. L'operatore fornisce un indirizzo di spedizione negli Stati Uniti. L'indirizzo non è mai la sede dichiarata. I clienti dell'azienda sono spesso gli stessi.
Sono o la casa di un facilitatore o la posizione commerciale. Questa è la fattoria dei laptop. La fattoria per i laptop è l'ancora fisica dell'operazione. Una struttura tipica è una residenza o una piccola struttura.
Lo spazio commerciale, da qualche parte negli Stati Uniti Gli Stati Uniti, gestiti da un facilitatore, spesso uno Stato USA cittadino, a volte compensato, a volte cittadino Sono consapevoli solo parzialmente della struttura completa.
All'interno, decine di laptop rilasciati dai datori di lavoro sono collegati a una singola rete locale. Ogni laptop ha una rete separata. Ogni laptop è configurato per un accesso remoto persistente.
L'operatore, fisicamente in Corea del Nord o attraverso il suo territorio, può essere Il confine cinese, si connette tramite VPN Il software commerciale o desktop remoto nel laptop alla fattoria.
Dal punto di vista del datore di lavoro, la sessione del dipendente si nasce da un IP residenziale degli Stati Uniti Durante gli orari di lavoro statunitensi, l'indirizzo di una società è indicato. -dispositivo emesso.
Tutta la telemetria è pulita. Fase 5. Il Facilitatore. Il ruolo del facilitatore è quello di fornire un servizio.
È strutturale. Ricevi spedizioni. Potenziare i dispositivi. Gestire occasionalmente le attività IT in loco.
Processo di assegni salariali attraverso società di shell in conti controllati da parte di co-conspiratori all'estero. Nell'aprile 2026, un tribunale federale del Massachusetts
condannato due residenti del New Jersey, Kajiya Wong e Zhenxing Wong, senza relazione, a nove Sette anni e mezzo in prigione. la prigione,
rispettivamente. I due furono condannati a quattro anni di prigione. prigione. Il tribunale del tribunale è pronto a condanne Kajiya
Wong e Zhenxing Wong a nove anni di età e Sette sette anni di prigione mentre Kajiya Wong viene condannata Da 10 a 10 anni e otto anni e mezzo
Anni dopo anni. prigione. Kajiya Wong e Zhenxing Wong vivevano insieme a La latitudine di trasformazione del sud di LA.
Kajiya Wong sta allontanando, vive da sola, fa forte Sapendo che era un criminale, continua a farlo. C comunica con i suoi coetanei all'UO. Hai avuto decine di persone.
Quando si tratta di doppiazione, nulla conta e Sono dieci anni più giovani di loro. La parte più interessante di tutti i debutti è che è che il capitano, Stant, lavorava per la Tetra.
Era passato a fare i capelli e oggi è così. Pensate a Maisel e scrivete giochi nel suo libro. Con i capelli Valori personali.
La sua operazione ha toccato più di 300 aziende americane E canalizzato oltre 17 milioni di dollari alla Corea del Nord. Si è dichiarata colpevole e ha ricevuto una condanna di 102 mesi.
L'operazione di Chapman ha compromesso le identità personali di alcuni dei suoi membri. Almeno 60 americani. La sua casa era, per tre anni, collegata da Fibra ottica per un programma di armi nucleari su
L'altra parte del mondo. Ritorno a Clearwater. Ritorna alla finestra di 25 minuti. Il centro di operazioni di sicurezza del numero B-4, avvertito da
rilevamento automatico, raggiunto dal nuovo dipendente Per chiedere informazioni sull'attività anomalia. L'impiegato rispose di seguire un'acquisto. Guida per la risoluzione dei problemi del router, che potrebbe aver causato
Un falso allarme. Il team di sicurezza di No B-4 ha richiesto un live Chiama. L'impiegato ha detto che non era disponibile.
Poco dopo, divenne irrispondevole. Alle 10.020 di sera. Eastern Time, la sua postazione di lavoro era contenuta. Il numero B-4 ha reso pubblico l'incidente nel
Un post dettagliato sul blog scritto dal suo capo. L'esecutivo, Stu Schauerman. Il post descrive le specifiche misure tecniche adottate da parte dell'operatore.
Ha usato un Raspberry Pi per scaricare il Malware. Il malware era un informatore. Il suo obiettivo era il credenziale lasciato nel browser.
Sessioni di autenticazione residue, token di autenticazione residui dal precedente laptop Provvigionamento. L'intenzione dell'operatore era di raccogliere ciò che rimaneva. sulla macchina prima che fosse completamente carica
Sicurato. Nessun dato dei clienti è stato esposto. L'operatore è stato terminato prima di ottenere un accesso più ampio. Ma l'operatore aveva cancellato ogni pre-impiego.
Controllo di background, controllo del fenomeno, verifica dell'identità, quattro video Interviste con quattro membri del team. Tutti avevano parlato con qualcuno che aveva non esisteva.
Il Dipartimento di Giustizia degli Stati Uniti ha, come Di questa registrazione, sbloccati almeno quattro grandi Accuse relative al regime. Sono state effettuate ricerche su oltre 29 fattorie di laptop.
16 stati. L'FBI ha rilasciato una pubblica informativa nel mese di maggio. 2022, ottobre 2023, maggio 2024. La pressione dell'applicazione non ha causato l'operazione
Per contratto. Un ricercatore del numero B-4 ha confrontato il numero di persone che hanno avuto un problema con la ricerca. dall'economia al commercio di droga. Per ogni facilitatore arrestato, due sono già disponibili.
per sostituirli. La fornitura di co-conspiratori con sede negli Stati Uniti è crescendo. Che sia motivato finanziariamente o parzialmente ingannato, supera il pubblico ministero
throughput. La ragione strutturale è l'asimetria del mercato del lavoro. L'assunzione remota è un processo globale e assincrono. La verifica dell'identità presso la maggior parte delle aziende americane rimane un problema.
Una casa, una casa sincrona. Un numero di previdenza sociale rubato passerà un numero di previdenza sociale. Controllo automatico del credito. Un appoggio LinkedIn acquistato sembra identico a un appoggio LinkedIn.
Uno organico. Un portatile spedito in un paese americano. Il codice postale si presenta come un laptop nel Gli Stati Uniti.
Gli operatori non sconfiggono questi sistemi. Passanno attraverso di loro esattamente come progettato. Molti di loro fanno anche il lavoro. Una parte significativa degli operatori nordcoreani consegnano
Legittimo lavoro di ingegneria software. I loro datori di lavoro americani ricevono un codice funzionale, rispettano le scadenze, e le recensioni di prestazioni accettabili. L'esfiltrazione del salario è l'intero processo.
L'esfiltrazione dei dati quando accade è Una raccolta secondaria. La domanda che non può essere risolta dal pubblico L'informazione è quanto operatori rimangono impiegati all'interno
Le aziende americane in questo momento. Secondo la valutazione di Mandiant, quasi ogni capo di Fortune 500 è un'idea che la maggior parte dei clienti non è più in grado di ottenere risultati positivi. L'ufficiale di sicurezza dell'informazione ha ammesso di aver almeno Un caso conosciuto stabilisce un piano, non un.
il soffitto. I casi ammessi sono quelli che sono stati rilevati. I casi non rilevati rimangono, per definizione, in paghe sistemi.
Nessuna crittografia sconfigge questo attacco. Nessuna segmentazione di rete lo chiude. Nessun firewall riconosce un dipendente che era legittimamente assunti.
La difesa della superficie è costituita da risorse umane. Il file del caso rimane aperto. A partire da aprile 2026, due dei più violenti sono stati registrati. I facilitatori recentemente accusati stanno scontando condanne federali in
Massachusetts. Nove persone in più collegate alla stessa operazione restare a marcia libera. Gli Stati Uniti
Il Dipartimento di Stato offre un premio di 5 milioni di dollari. Per avere informazioni che portino all'arresto di coloro che sono stati arrestati. ancora fuori custodia. Il Dipartimento 53 di Pyongyang continua a operare.
Fragment Zero traccierà il file del caso. La prossima volta che una società americana pubblica un messaggio di marketing, Ruolo di ingegneria software remoto, approssimativamente uno in un Saranno segnalate migliaia di domande.
La difesa del dubbio non è se un L'organizzazione incontrerà questa operazione. La questione è se l'organizzazione si accorgerà.
