The Ghost Employee: Department 53 and the North Korean Remote Workforce
THE GHOST EMPLOYEE
Department 53 and the North Korean Remote Workforce
15 de julho de 2024, Clearwater, Flórida, 9.055 páginas .m.m. Tempo do Oriente. Um alerta de segurança dispara dentro dos sistemas de monitoramento
de NoB4, Uma empresa de treinamento em segurança cibernética com mais de 50 milhões de dólares. Os usuários em 54.000 organizações. Os sinais de alerta indicam atividade anómala em um novo sistema.
Estação de trabalho provisória. A estação de trabalho foi entregue mais cedo naquele dia para um engenheiro de software principal recém-contratado. Ele havia passado por quatro entrevistas por vídeo.
Suas referências tinham sido verificadas. Sua investigação de antecedentes tinha voltado limpo. O engenheiro está a 25 minutos de sua primeira viagem. O turno.
Ele está instalando malware na estação de trabalho, entregue através de um Raspberry Pi conectado ao mesmo rede. Rede. Sua fotografia é uma imagem de estoque modificada por
Inteligência artificial. Seu nome pertence a um verdadeiro americano. nunca se conheceu. Sua localização física real é dentro do Norte
Coreia ou através da fronteira no nordeste da China. Este não é um incidente isolado. NoB4 é uma empresa que ensina outras organizações Como detectar exatamente esse tipo de ameaça.
Eles não foram o primeiro alvo. Eles não eram o cemo. Este é um processo de um trabalho de parto mercado com um adversário incorporado dentro dele.
O Democrata... A República Popular Democrática da Coreia tem, desde 2011, aproximadamente aproximadamente. buscou a tecnologia da informação como uma prioridade nacional estratégica.
A directiva tem origem no consentimento de Kim Jong-un. Sob sanções que isolam o regime do mundo global Comércio, fluxos de receita convencionais têm diminuído. As operações cibernéticas, roubo, espionagem, fraude têm se expandido para
Preencha a lacuna. O programa específico neste caso é operado por uma unidade designada pelo Departamento 53. Para demonstrar isso o Departamento de Coréia linha
ccl Expertsare são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são são De 6.800 em 2022 para 8.400
Em 2024. O aumento acompanha a expansão do trabalho remoto normas após a pandemia. Os EUA
Estimativas do governo colocam os ganhos anuais coletivos de Isso é o que eu faço. Força de trabalho em mais de US$ 500 milhões. Os operadores individuais podem gerar até US$ 300 mil
por ano, às vezes por holding múltiplas posições simultâneas em diferentes empresas americanas. A maior parte dos receitos foi lavada através de chineses contas
e encaminhado de volta para Pyongyang. Ele financia o regime diretamente, incluindo, de acordo com o governo. Os EUA As designações do Tesouro, seus programas de armas de destruição em massa.
O Federal Bureau of Investigation classifica este esquema Como um an Ameaça ativa à segurança nacional. Ele tem estado operando em escala desde a década de 1970.
Pelo menos em 2018. A mecânica se passa em seis etapas. Estágio 1. Fabricação de identidade.
O operador adquire as informações pessoais de um Um cidadão americano real, Geralmente através de canais de roubo de identidade disponíveis no site A web escura.
Nome legal completo. Número de segurança social. Data de nascimento. História de emprego.
Em um caso federal, uma única operação foi comprometida. as identidades de mais de 80 americanos. O operador então constrói uma identidade profissional em
No topo do roubado. Um perfil do LinkedIn com informações fabricadas. Um histórico de emprego fabricado. Uma conta GitHub com código que é frequentemente
raspados ou clonados. Uma fotografia passable, frequentemente uma imagem de estoque, editada A IA gerativa para fazer através de As buscas de imagem inversa falham.
Estágio 2. A Aplicação. O operador aplica-se a posições remotas somente, tipicamente. Engenharia de software,
Desenvolvimento front-end, ou papéis de stack completo. Alguns pedidos são encaminhados através de agências de contratação de pessoal. Alguns vão direto. Estágio 3.
A entrevista. A maioria dos empregadores americanos conduz entrevistas por vídeo para o serviço remoto. posições. O operador atende com a câmera ligada.
Respostas pré-receitas. Em casos mais sofisticados, a tecnologia de substituição facial é usado para mapear um sintético ou vivo imagem no rosto do operador em tempo real.
De acordo com a empresa de segurança cibernética SentinelOne, aproximadamente 1 ,000 pedidos de emprego recebidos por A empresa nos últimos anos tem sido ligada para suspeita de normalização.
A empresa está no negócio desde O início da sua existência. De acordo com Mandiant, uma empresa que tem sido Uma importante fonte de informação para o
De acordo com Mandiant, agora uma unidade do Google A nuvem, quase todas as principais informações da Fortune 500 O oficial de segurança entrevistado sobre o assunto reconheceu que o que sua empresa tem,
Sabendo ou não, contratou pelo menos um. Estágio 4. A Envio. Após a contratação, a empresa emite um laptop, normalmente.
Um MacBook. O operador fornece um endereço de envio dos EUA. O endereço nunca é a residência alegada. Os clientes da empresa são muitas vezes os mesmos.
Eles são casa de um facilitador ou localização comercial. Esta é a fazenda de laptops. A fazenda de computadores portáteis é a âncora física da operação. Uma instalação típica é uma residência ou uma pequena instalação.
Espaço comercial, em algum lugar dos Estados Unidos Os Estados Unidos, operados por um facilitador, muitas vezes um Estado-membro. cidadão, às vezes compensado, às vezes cidadão Só parcialmente consciente da estrutura completa.
Dentro, dezenas de laptops emitidos por empregadores estão conectados para uma única rede local. Cada laptop tem uma rede separada. Cada laptop é configurado para acesso remoto persistente.
O operador, fisicamente na Coreia do Norte ou em todo o país. A fronteira chinesa, se conecta através de um VPN O software comercial de desktop remoto ou para o computador portátil na fazenda.
Do ponto de vista do empregador, a sessão do empregado se origina de um IP residencial dos EUA Durante as horas de trabalho dos EUA, em um endereço de empresa -dispositivo emitido.
Toda a telemetria é limpa. Estágio 5. O Facilitador. O papel do facilitador é prestar um serviço.
É estrutural. Receba remessas. Alimenta os dispositivos. Manter ocasionalmente tarefas de TI no local.
Processar salários através de empresas de caça-níqueis em contas controladas por co-conspiradores no exterior. Em abril de 2026, um tribunal federal em Massachusetts
condenou dois residentes do New Jersey, Kajiya. Wong e Zhenxing Wong, sem relação, para nove E sete anos e meio em prisão, prisão,
respectivamente. Os dois foram condenados a quatro anos de prisão. prisão. O tribunal do tribunal está disposto a condenar Kajiya
Wong e Zhenxing Wong para nove anos e Sete sete anos de prisão enquanto Kajiya Wong é condenada De 10 a 10 anos e oito anos e meio
Em anos, em anos, em anos. prisão. Kajiya Wong e Zhenxing Wong viviam juntos em A latitude de transformação do sul de LA.
Kajiya Wong está a sair, a viver sozinha, a fazer forte Sabendo que ele era um criminoso, mantém-se C se comunica com seus colegas na UO. A tensas de pessoas.
Quando se trata de dobrar, nada importa e Eles são 10 anos mais jovens do que eles. A parte mais interessante de todos os debuts é que que o capitão, Stant, trabalhava para o Tetra.
Ele estava fazendo o cabelo e hoje é o dia. pense em Maisel e escreva jogos em seu livro Com o cabelo valores pessoais.
Sua operação atingiu mais de 300 empresas americanas E canalizou mais de 17 milhões de dólares para a Coreia do Norte. Ela se declarou culpada e recebeu uma sentença de prisão preventiva. 102 meses.
A operação de Chapman comprometeu as identidades pessoais de at Pelo menos 60 americanos. Sua casa foi, durante três anos, conectada por Fibra óptica para um programa de armas nucleares em
do outro lado do mundo. Retorno a Clearwater. Regressar à janela de 25 minutos. O centro de operações de segurança do B-4, alertado por
detecção automática, alcançando o novo funcionário Para investigar a atividade anómala. O funcionário respondeu que estava seguindo um Guia de solução de problemas do roteador, que pode ter causado
Um falso alarme. A equipe de segurança do B-4 não solicitou um live chamada. O funcionário disse que ele não estava disponível.
Pouco depois, ele ficou desresponsável. Às 10.020 da noite. Eastern Time, sua estação de trabalho foi contida. O número B-4 divulgou o incidente em julho de 2007.
Um post detalhado no blogue escrito por seu chefe Executivo, Stu Schauerman. O post descreveu a ação técnica específica tomada pelo operador.
Ele usou um Raspberry Pi para baixar o Malwares. Malwares. O malware era um informador. Seu alvo foi os dados credenciais deixados no navegador
sessões, tokens de autenticação residuais do laptop anterior Provisão. Provisão. A intenção do operador era colher o que restava. Na máquina antes de estar totalmente em funcionamento
assegurado. Nenhum dos dados do cliente foi exposto. O operador foi encerrado antes de obter acesso mais amplo. Mas o operador tinha eliminado todos os pré-empregamentos
Controle de fundo, fenótipo de verificação de antecedentes, verificação de identidade, quatro vídeos Entrevistas com quatro membros diferentes da equipe. Todos eles tinham falado com alguém que não existiu.
O Departamento de Justiça dos Estados Unidos tem, como desta gravação, desencadeado pelo menos quatro grandes acusações relacionadas ao esquema. Mais de 29 fazendas de computadores portáteis foram revistadas
Em 16 estados. O FBI emitiu avisos públicos em maio. 2022, outubro de 2023, maio de 2024. A pressão da força não causou a operação
para contratar. Um pesquisador no No B-4 comparou o da economia ao comércio de drogas. Por cada facilitador preso, dois já estão disponíveis
para substituí-los. O suprimento de co-conspiradores baseados nos EUA é aumentando. Seja motivado financeiramente ou parcialmente enganado, excede o processo.
throughput. A razão estrutural é a assimetria do mercado de trabalho. A contratação remota é um processo global e assíncrono. A verificação de identidade na maioria das empresas americanas continua a ser uma questão de segurança.
doméstico, sincrônico. Um número de Seguro Social roubado passará por um número de seguro social. Verificação de crédito automática. Um endosso do LinkedIn comprado parece ser idêntico a um endosso do LinkedIn.
Um orgânico. Um laptop enviado para um U.S. O código postal apresenta-se como um laptop no sistema postal. Os Estados Unidos.
Os operadores não derrotam esses sistemas. Eles passam por eles exatamente como projetado. Muitos deles também fazem o trabalho. Uma parte significativa dos operadores norte-coreanos fornece serviços de transporte.
trabalho legítimo de engenharia de software. Seus empregadores americanos recebem um código funcional, cumprem os prazos, e avaliações de desempenho aceitáveis. A exfiltração de salário é todo o processo.
A exfiltração de dados quando acontece é uma colheita secundária. A pergunta que não pode ser respondida do público A informação é quantas operadoras permanecem empregadas dentro
Empresas americanas neste momento. A avaliação de Mandiant mostra que quase todos os chefes da Fortune 500 O oficial de segurança da informação admitiu que, pelo menos, Um caso conhecido estabelece um piso, não um.
teto. Os casos admitidos são os que foram detectados. Os casos não detectados permanecem, por definição, na folha de pagamento sistemas.
Nenhuma criptografia derrota este ataque. Nenhuma segmentação de rede fecha-o. Nenhum firewall reconhece um funcionário que foi legitimamente identificado. contratação.
A defesa da superfície é de recursos humanos. O arquivo do caso permanece aberto. A partir de abril de 2026, dois dos mais importantes foram Facilitadores recentemente acusados estão cumprindo sentenças federais em
Massachusetts. Novas pessoas adicionais conectadas à mesma operação permanecer em livre arbítrio. Os EUA
O Departamento de Estado está oferecendo uma recompensa de US$ 5 milhões. Para obter informações que levem à prisão dos suspeitos. Ainda fora de custódia. O Departamento 53 de Pyongyang continua a operar.
Fragmento Zero irá rastrear o arquivo do caso. Da próxima vez que uma empresa americana publicar uma mensagem, Papel de engenharia de software remoto, aproximadamente um em um Mil pedidos serão relatados.
A defesa da questão não é se um an A organização vai encontrar esta operação. É se a organização vai notar.
