Представители Северной Кореи всё активнее прибегают к использованию фиктивных личностей для получения удалённых должностей в ведущих западных корпорациях. Специалисты смоделировали подобную ложную личность, что позволило им зафиксировать все действия злоумышленников и выявить применяемые ими инструменты.
Эксперт по кибербезопасности из BCA LTD Мауро Элдритч (Mauro Eldritch) и его коллега Хейнер Гарсиа (Heiner García) из NorthScan детально задокументировали активность одного из подразделений северокорейской группировки Lazarus. Речь идёт об объединении Famous Chollima/WageMole, которое фокусируется на внедрении в инфраструктуру западных компаний с помощью методов социальной инженерии.
В последнее время участники Famous Chollima активно стремятся проникнуть в чужие сети, используя, по сути, «арендованные» чужие идентичности.
Схема относительно проста: агенты киберразведки КНДР находят квалифицированного IT-специалиста (часто испытывающего финансовые трудности) и предлагают ему помощь в фиктивном трудоустройстве в крупную фирму в качестве подставного лица. За содействие участнику схемы обещают 20–35% от будущего заработка, при этом всю реальную работу будут выполнять корейские «эксперты». Ещё большее вознаграждение предлагается, если программист разрешит использовать свой компьютер для доступа к корпоративным сетям нанимателя.
Как подчеркнул Элдритч, все риски фактически ложатся на подставное лицо: если от его имени и через его систему будет причинён значительный ущерб, именно ему придётся нести юридическую ответственность.
Элдритч впервые столкнулся с Famous Chollima, когда руководил Quetzal Team — группой анализа угроз в сфере Web3 при компании Bitso. Несколько подобных инцидентов он тщательно зафиксировал.
В последнее время, как отмечает Элдритч, на GitHub появилось множество аккаунтов, которые массово рассылают в чужие репозитории объявления о поиске людей, готовых проходить технические собеседования от имени вымышленного кандидата, якобы обладающего глубокими познаниями в .NET, Java, C#, Python, JavaScript, Ruby, Golang и блокчейне. От соискателя не требуется высокого уровня подготовки, поскольку автор объявления обещает помочь с подготовкой к интервью.
При этом потенциальным кандидатам предлагают около 3000 долларов в месяц.
Элдритч и Гарсия приняли решение использовать против северокорейских агентов их же тактику, создав фиктивную личность — американского программиста Энди Джонса (Andy Jones) и задействовав сервис изолированных сред Any.Run для симуляции работы целой группы ноутбуков, так называемой «фермы». По сути, это была honeypot-приманка, которая позволила фиксировать каждое действие оппонента в прямом эфире.
«Вербовщик» потребовал от «Энди Джонса» постоянный удалённый доступ к компьютеру через AnyDesk, а затем уточнил, что помимо резюме для отправки работодателю, необходимы личные данные вымышленного персонажа: полное имя, визовый статус, адрес. Позже последовал запрос на номер социального страхования для проверки службой безопасности, с оговоркой, что все учётные записи также должны пройти верификацию.
В качестве вознаграждения было предложено 20% от будущей заработной платы, либо 10%, если «Джонс» просто предоставит свои данные и доступ к ноутбуку, а собеседование агент проведёт самостоятельно.
Исследователи развернули многоуровневую инфраструктуру: среда Any.Run работала из Германии, но благодаря резидентным прокси была замаскирована под одиночный ноутбук, якобы находящийся в США.
Подключение полностью контролировалось специалистами: в любой момент они могли симулировать сбой системы, сохраняя при этом сессию активной, чтобы предотвратить потенциальные вредоносные действия в отношении третьих лиц.
Агент подключился через популярный среди корейских «ИТ-специалистов» VPN-сервис Astrill и сразу приступил к проверке (виртуального) аппаратного обеспечения машины, уточнил её местоположение и установил Google Chrome в качестве браузера по умолчанию.
Элдритч и Гарсия намеренно замедляли действия злоумышленника, периодически имитируя технические неполадки, удаляя программы и задерживая ответы на его сообщения. Все проблемы объяснялись «сбоями в сети» или особенностями используемого хакером VPN-сервиса.
В определённый момент его завели в тупик с якобы неработающей CAPTCHA, на преодоление которой агент потратил более часа.
В процессе наблюдения исследователи зафиксировали активное использование агентом различных ИИ-инструментов — AIApply, Simplify Copilot, Final Round AI и Saved Prompts — для создания резюме и автоматического заполнения заявок на вакансии. Кроме того, LLM-система ChatGPT применялась для генерации ответов в реальном времени во время собеседований.
Агент КНДР также использовал авторизованные расширения для OTP, Google Remote Desktop и Gmail: в какой-то момент он активировал синхронизацию профиля, что позволило — к радости исследователей — получить доступ к его почтовому ящику со всем содержимым, включая многочисленные подписки на job-платформы, переписку в Slack и другие данные.
По итогам исследования выяснилось, что группировка Famous Chollima состоит из нескольких соперничающих команд численностью от 6 до 10 участников. Та группа, за которой наблюдали Элдтритч и Гарсия, включает шесть человек. Примечательно, что её члены используют отнюдь не корейские, а скорее испаноязычные имена: Матео, Хулиан, Аарон, Хесус, Себастьян и Альфредо.
«Важно понимать, что это лишь крошечный фрагмент северокорейской кибер-армии, общая численность которой, согласно ряду оценок, уже превышает 8000 специалистов, — отмечает Михаил Зайцев, эксперт по кибербезопасности компании SEQ. — Для изолированного режима эта структура служит одним из ключевых каналов получения финансов и технологий, поэтому её активность вряд ли пойдёт на спад. Изучение их практик “в полевых условиях” даёт информацию, критически важную для организации эффективного противодействия их атакам».
Эксперт также подчеркнул, что методы работы киберагентов КНДР непрерывно эволюционируют, поэтому актуальность собранных исследователями сведений может оказаться недолгой.
