The Ghost Employee: Department 53 and the North Korean Remote Workforce

THE GHOST EMPLOYEE

Department 53 and the North Korean Remote Workforce

15 июля 2024 года, в Кларвотере, штат Флорида, 9,055 страниц. .m.m. Восточное время. Внутренний сигнал о безопасности зажигает системы мониторинга

NoB4, Компания по обучению кибербезопасности с более чем 50 миллионами пользователей в 54 000 организациях. В сигналах предупреждения указывается аномальная активность на новом устройстве.

Провизионная рабочая станция. Рабочая станция была доставлена ранее в тот же день к недавно нанятый главный инженер-программист. Он прошел четыре видеоинтервью.

Его ссылки были проверены. Его следствие о его прошлом вернулось к чистоте. Инженер на 25 минут впервые начнет работу. Смена. Смена.

Он устанавливает вредоносные программы на рабочей станции, доставленные Через Raspberry Pi, подключенный к этому же устройству Сеть. Сеть. Его фотография - это акционный снимок, измененный

Искусственный интеллект. Его имя принадлежит к настоящему американскому человеку. никогда не встречался. Его фактическое физическое местоположение находится либо в пределах Северной

Корейский или через границу в северо-восточном Китае. Это не одиночный инцидент. NoB4 - это компания, которая обучает другие организации Как точно обнаружить подобные угрозы.

Они не были первой целью. Они не были стопроцентом. Это дело о родах. Рынок с противником, встроенным внутри него.

Демократический... Демократическая Народная Республика Корея имеет, с тех пор В 2011 году, приблизительно, Имел в виду, что информационные технологии являются стратегическим национальным приоритетом.

Директива была принята с согласия Ким Чен Ына. В соответствии с санкциями, которые изолируют режим от глобального Торговля, обычные потоки доходов сократились. Кибероперации, кража, шпионаж, мошенничество расширились до

Заполните пробел. Специфическая программа в данном случае работает подразделением, назначенным Департаментом 53. Чтобы продемонстрировать это, корейский департамент

ccl Эксперты являются С 6800 в 2022 году до 8400

В 2024 году. Увеличение отслеживает расширение удаленной работы нормы после пандемии. США

По оценкам правительства, коллективные годовые доходы Это это это это это это На рабочей силе более $500 млн. Индивидуальные операторы могут заработать до $300,000

В год, иногда, держась Многочисленные одновременные должности в разных американских компаниях. Большая часть доходов была отмыта через китайцев учетные записи

и направили обратно в Пхеньян. Он финансирует режим непосредственно, в том числе, согласно. США Определения казначейства, его программы оружия массового уничтожения.

Федеральное бюро расследований классифицирует эту схему Как и в прошлом Активная угроза национальной безопасности. Он работает в масштабах с 1 января.

По крайней мере, в 2018 году. Механики проводят процесс в шести этапах. Стадия 1 Фабрикация идентичности.

Оператор получает личную информацию о человеке. Настоящий американский гражданин, Обычно через каналы кражи личности, доступные на сайте. Темный веб.

Полное юридическое имя. Номер социального страхования. Дата рождения. История занятости.

В одном федеральном случае одна операция была скомпрометирована. Идентификации более 80 человек Американцы. Затем оператор создает профессиональную идентичность на

Сверху украденного. Профиль в LinkedIn с поддельной информацией. Измышленная история работы. Учет на GitHub с кодом, который часто используется

Скрап или клонирован. Пропускаемая фотография, часто находящаяся на фондовом счете, редактируемая ИИ-генеративный процесс, чтобы сделать это Поиски обратного изображения не удаются.

Этап 2. Приложение. Оператор применяется к удаленным позициям, как правило. инженерное программное обеспечение,

Фронт-энд-развитие или полноценные роли. Некоторые заявки направляются через агентства по трудоустройству. Некоторые из них идут прямо. Третий этап.

В интервью. Большинство американских работодателей проводят видеоконференции для удаленных сотрудников. Позиции. Оператор присутствует с включенной камерой.

Предварительные репетиции ответов. В более сложных случаях технология замены лица - это используется для отображения синтетического или живого Изображение на лице оператора в режиме реального времени.

По данным кибербезопасной фирмы SentinelOne, примерно 1 000 заявок на работу, полученных В последние годы компания была связана к предполагаемой нормализации.

Компания работает с тех пор, как Начало своего существования. По словам компании Mandiant, которая была Основной источник информации для

По словам Мандианта, теперь это подразделение Google. Облако, почти каждая информация о 500-х крупных компаниях из списка Fortune Официант безопасности, который был опрошен по этому поводу, признал, что он что их компания имеет,

Сознательно или незначно, наняли хотя бы одного. Стадия 4 Посылка. После найма компания выпускает ноутбук, обычно

MacBook. Оператор предоставляет адрес доставки в США. Адрес никогда не является заявленным местом жительства. Клиенты компании часто одинаковы.

Это либо дом посредника, либо коммерческое местоположение. Это ферма ноутбуков. Ферма ноутбуков является физической якорью операции. Типичный объект - это жилой дом или небольшой дом.

Коммерческое пространство, где-то в Соединенных Штатах. Осуществляемые посредником, часто США государствами. иногда компенсацию, иногда гражданство Они лишь частично знают всю структуру.

Внутри десятки ноутбуков, выпущенных работодателем, подключены к сети к единой локальной сети. Каждый ноутбук имеет отдельную сеть. Каждый ноутбук настроен на постоянный удаленный доступ.

Оператор физически находится в Северной Корее или через нее. Китайская граница, подключается через VPN коммерческое программное обеспечение для удаленного рабочего стола или коммерческого программного обеспечения для удаленного рабочего стола в ноутбук на ферме.

С точки зрения работодателя, сессия работника начинается от жилого IP-адреса США Во время рабочего времени в США на адресе компании -выпущенное устройство.

Все телеметрические показатели чисты. Стадия 5 "Отправитель". Роль посредника - предоставление услуги.

Это структурное. Принимают поставки. Направьте устройства. Одновременно выполняйте IT-задачи на месте.

Процесс оплаты труда через Shell-компании в контролируемые счета Соучастниками заговора За рубежом. В апреле 2026 года федеральный суд в Массачусетсе

осужденных к двум жителям Нью-Джерси, Каджиа Вонг и Чжэньцзинь Вонг, никакого отношения, к девяти. Семь с половиной лет и семь с половиной лет в тюрьме. тюрьма,

соответственно. Оба были приговорены к четырем годам тюрьмы. тюрьма. Суд суда намерен приговорить Каджию к приговору.

Вонг и Чжэнь Синь Вонь - в девять лет и в семье. Семь семь В то время как Каджа Вонг будет осужден к годам лишения свободы От 10 до 10 лет и восьми с половиной

В течение многих лет тюрьма. Каджая Вонг и Чжэнь Син Вонг жили вместе в Трансформационная широта южного Лос-Анджелеса.

Каджа Вонг выстраивается, живет в одиночестве, делает сильные Зная, что он был преступником, он продолжает С общается со своими сверстниками в UO. А вы уже десятки.

Когда дело доходит до дублирования, ничего не имеет значения и Они на 10 лет моложе, чем Юхейр. Самое интересное в дебютах - это то, что они будут делать. Капитан, Стант, работал на Тетру.

Он проводил время на прическе, и сегодня он Подумайте о Мейзеле и напишите игры в его стиле. С волосами Личные ценности.

Ее деятельность охватила более 300 американских компаний. Он направил в Северную Корею более 17 миллионов долларов. Она призналась виноватой и получила приговор к смерти. 102 месяца.

Операция Чапмана подвергла опасности личную личность сотрудников компании. По крайней мере 60 американцев. Ее дом был, в течение трех лет, связан с Оптические волокон для программы ядерного оружия на

С другой стороны мира. Возвращение в Кларвотер. Возвращайтесь к 25-минутному окну. Центр операций безопасности No B-4, предупрежденный

Автоматическое обнаружение, достижение нового сотрудника Чтобы узнать о аномальной деятельности. Сотрудник ответил, что следит за Руководство по устранению неполадок маршрутизатора, которое могло вызвать его

ложный будильник. Команда безопасности No B-4 запросила живую связь. Звонок. Сотрудник сказал, что он недоступен.

Вскоре после этого он стал не реагировать. В 10.020 вечера Восточное время, его рабочая станция была задержана. В No B-4 был опубликован инцидент в июне.

Подробная статья в блоге, написанная ее начальником. Исполнительный директор, Стю Шауэрман. В сообщении описано конкретные технические действия, предпринятые оператором.

Он использовал Raspberry Pi, чтобы загрузить Плохое программное обеспечение. Плохое программное обеспечение было информационным крадером. Целью было получение учетных данных, оставленных в браузере.

Остальные сессии, токены аутентификации с предыдущих сеансов ноутбука Провизионный процесс. Целью оператора было собрать то, что осталось. На машине, прежде чем она была полностью загружена.

Защищен. Никаких данных о клиентах не было. Оператор был ликвидирован, прежде чем получить более широкий доступ. Но оператор очищал все предварительные рабочие места.

Контроль за происхождением, проверка фенотипа, проверка личности, четыре видео Интервью с четырьмя различными членами команды. Все они говорили с кем-то, кто не существовало.

Министерство юстиции США, как и другие, Из этой записи, раскрыты не менее четырех основных Обвинения, связанные с этой схемой. Было проведено обыск более 29 ферм для ноутбуков

В 16 штатах. ФБР в мае выпустило публичные рекомендации. 2022, октябрь 2023, май 2024. Давление правоохранителей не вызвало операции

Договориться. Исследователь No B-4 сравнил с ним Экономика - это дело торговли наркотиками. На каждого арестованного посредника уже доступны два.

чтобы заменить их. Поставка соучастников-соучастников, базирующихся в США, составляет: увеличивается. Независимо от того, мотивированы ли они финансово или частично обманываются, превышает преследование.

Пропускная способность. Структурная причина заключается в асимметрии рынка труда. Далёкое наймо - это глобальный, асинхронный процесс. Проверка личности в большинстве американских компаний остается проблемой.

Домашний, синхронный. Украденный номер социального страхования будет проходить через номер. Автоматизированный кредитный контроль. Покупка поддержки LinkedIn выглядит идентично с покупкой поддержки LinkedIn.

органический. органический. Ноутбук, отправленный в США. Почтовый код представляется как ноутбук в Соединенные Штаты.

Операторы не побеждают эти системы. Они проходят через них точно так, как они были разработаны. Многие из них также выполняют эту работу. Значительная часть северокорейских операторов доставляют

Законная работа по разработке программного обеспечения. Их американские работодатели получают функциональный код, соблюдают сроки, и приемлемые оценки производительности. Высокопрофилирование зарплаты - это весь процесс.

Высокопрофилирование данных, когда это происходит, - это Вторичный урожай. Вопрос, на который не может быть ответа от общественности Информация о том, сколько операторов остается на работе внутри

Американские компании в данный момент. По оценке Мандианта, почти каждый глава Fortune 500 Офицер по информационной безопасности признался, что, по крайней мере, Один известный случай устанавливает пол, а не .

потолок. Принятые случаи - это те, которые были обнаружены. Невыявленные случаи остаются, по определению, в зарплате системы.

Никакое шифрование не может одолеть эту атаку. Никакая сетевая сегментация не закрывает ее. Никакой брандмауэр не признает сотрудника, который был законно зарегистрирован Наняты.

Оборона поверхности - это человеческие ресурсы. Досье о деле остается открытым. По состоянию на апрель 2026 года, два из самых больших Недавно обвиняемые фасилитаторы отбывают федеральные приговоры в

Массачусетс. Еще девять человек подключены к той же операции оставаться на свободе. США

Государственный департамент предлагает $5 млн. в качестве вознаграждения. Для получения информации, которая приведет к аресту тех, кто был арестован. Все еще не под стражей. Отдел 53 в Пхеньян продолжает работать.

Fragment Zero будет отслеживать файл дела. В следующий раз, когда американская компания разместит сообщение о том, что она не работает, она будет публиковать сообщение о том, что она работает. Роль дистанционного инженера программного обеспечения, примерно одна в каждом Будет сообщено о тысяче заявлений.

Оборона вопроса не в том, является ли ан Организация столкнется с этой операцией. Вопрос в том, заметит ли организация.