Представители Северной Кореи всё активнее прибегают к использованию фиктивных личностей для получения удалённых должностей в ведущих западных корпорациях. Специалисты смоделировали подобную ложную личность, что позволило им отследить все шаги злоумышленников и выявить применяемые ими методы.
Эксперт по кибербезопасности из BCA LTD Мауро Элдритч (Mauro Eldritch) и его коллега Хейнер Гарсиа (Heiner García) из NorthScan детально зафиксировали деятельность одного из подразделений северокорейской группировки Lazarus. Речь идёт об объединении Famous Chollima/WageMole, которое фокусируется на внедрении в инфраструктуру западных фирм с помощью методов социальной инженерии.
В последний период участники Famous Chollima интенсивно стремятся получить несанкционированный доступ к чужим сетям, фактически используя «арендованные» идентичности.
Схема относительно проста: агенты киберразведки КНДР находят квалифицированного IT-специалиста (часто испытывающего финансовые трудности) и предлагают ему помощь в фиктивном трудоустройстве на удалённую позицию в крупную компанию — то есть выступить в роли прикрытия. За соучастие в этой схеме предлагается 20–35% от будущего заработка, при этом всю реальную работу будут выполнять корейские «эксперты». Ещё более высокая сумма сулится, если программист разрешит использовать свой компьютер для подключения к корпоративным сетям нанимателя.
Как подчеркнул Элдритч, все риски фактически ложатся на подставное лицо: если от его имени и через его систему будет причинён значительный ущерб, именно ему придётся нести юридическую ответственность.
Элдритч впервые столкнулся с Famous Chollima, когда руководил Quetzal Team — группой анализа угроз в области Web3 при компании Bitso. Несколько подобных инцидентов он тщательно зафиксировал.
В последнее время, как отмечает Элдритч, на GitHub появилось множество аккаунтов, которые массово рассылают в чужие репозитории сообщения с предложениями найти людей, готовых проходить технические собеседования от имени вымышленного кандидата, якобы обладающего глубокими познаниями в .NET, Java, C#, Python, JavaScript, Ruby, Golang и блокчейне. От соискателя не требуется высокого уровня подготовки, поскольку автор объявления обещает помочь с подготовкой к интервью.
При этом кандидатам обещают около 3000 долларов в месяц.
Элдритч и Гарсия приняли решение использовать против северокорейских агентов их же собственную тактику, создав фиктивную личность — американского программиста Энди Джонса (Andy Jones). Для этого они задействовали сервис изолированных сред Any.Run, сымитировав работу целой сети ноутбуков, так называемую «ноутбучную ферму». По сути, это была honeypot-ловушка, позволявшая в реальном времени фиксировать каждое действие оппонента.
«Рекрутер» потребовал от «Энди Джонса» предоставить круглосуточный доступ к компьютеру через AnyDesk, а затем уточнил, что помимо резюме для отправки работодателю, необходимы личные данные вымышленного кандидата: полное имя, визовый статус, адрес проживания. Позже также был запрошен номер полиса социального страхования для проверки службой безопасности, с оговоркой, что все учётные записи должны пройти верификацию на подлинность.
В качестве вознаграждения было предложено 20% от будущей зарплаты, либо 10%, если «Джонс» просто предоставит свои данные и доступ к ноутбуку, а собеседование агент проведёт самостоятельно.
Исследователи развернули многоуровневую инфраструктуру: среда Any.Run работала из Германии, но благодаря резидентным прокси была замаскирована под отдельный ноутбук, якобы находящийся в США.
Подключение полностью контролировалось специалистами: в любой момент они могли симулировать сбой системы, сохраняя при этом сессию активной, чтобы предотвратить потенциальные вредоносные действия в отношении третьих лиц.
Агент подключился через VPN-сервис Astrill, популярный среди корейских «ИТ-специалистов», и сразу приступил к проверке (виртуального) аппаратного обеспечения машины, уточнил её местоположение и установил Google Chrome в качестве браузера по умолчанию.
Элдритч и Гарсия намеренно замедляли действия злоумышленника, периодически имитируя сбои, удаляя программы и задерживая ответы на его сообщения. Все неполадки объяснялись «техническими проблемами» с сетевыми настройками или VPN, которым пользовался хакер.
В определённый момент его завели в тупик с якобы неработающей CAPTCHA, и агент потратил более часа, безуспешно пытаясь авторизоваться.
В процессе наблюдения исследователи зафиксировали активное использование агентом различных ИИ-инструментов — AIApply, Simplify Copilot, Final Round AI и Saved Prompts — для создания резюме и заполнения заявок на вакансии. Кроме того, LLM-система ChatGPT применялась для генерации ответов в реальном времени во время собеседований.
Агент также использовал авторизованные расширения для OTP, Google Remote Desktop и Gmail: в какой-то момент он включил синхронизацию профиля, что, к радости исследователей, позволило получить доступ к его почтовому ящику со всем содержимым — включая многочисленные подписки на job-платформы, переписку в Slack и другие данные.
По итогам расследования выяснилось, что группировка Famous Chollima состоит из нескольких соперничающих команд численностью от 6 до 10 участников. Та группа, за которой наблюдали Элдтритч и Гарсия, включает в себя шестерых человек. Примечательно, что все они используют имена не корейского происхождения — Матео, Хулиан, Аарон, Хесус, Себастьян и Альфредо.
«Важно понимать, что это лишь крошечный сегмент северокорейской киберармии, общая численность которой, согласно ряду оценок, уже превышает 8000 специалистов, — отмечает Михаил Зайцев, эксперт по кибербезопасности компании SEQ. — Для изолированного режима эта структура служит одним из главных каналов получения финансов и технологий, поэтому её активность вряд ли пойдёт на спад. Изучение их практик в "полевых условиях" даёт информацию, критически важную для организации эффективного противодействия их операциям».
Эксперт также подчеркнул, что методы работы киберагентов КНДР непрерывно эволюционируют, поэтому ценность собранных исследователями сведений может оказаться недолговечной.
