В США вынесли приговор двум американцам, которые помогали северокорейским ИТ-специалистам устраиваться на удаленную работу в западные компании под чужими именами. Кеджиа Ван получил 108 месяцев тюрьмы, Чжэньсин Ван — 90 месяцев. По данным Минюста США, они участвовали в многолетней схеме, благодаря которой фиктивные удаленные сотрудники получили работу более чем в 100 американских компаниях, включая несколько компаний из списка Fortune 500 и калифорнийского оборонного подрядчика.
Следствие утверждает, что в схеме использовались украденные персональные данные как минимум 80 граждан США. С их помощью оформлялись ложные профили, проходились этапы найма и открывался доступ к корпоративной технике. Работодатели отправляли ноутбуки на адреса в США, которые контролировали посредники, а те уже передавали доступ реальным исполнителям за пределами страны. Общая выручка схемы, по версии прокуратуры, превысила $5 млн и шла на финансирование властей КНДР.
Главный технический элемент этой истории — так называемые «фермы ноутбуков». Это площадки, где полученные от работодателей устройства физически находятся в США, подключены к интернету и доступны удаленно. Для службы безопасности компании картина выглядит почти безупречно: корпоративный ноутбук работает из американской сети, логины идут с местного IP-адреса, а сотрудник формально числится в США. Именно такую схему ФБР в своих предупреждениях называет одним из типовых признаков северокорейских кампаний с фальшивыми удаленными работниками.
Отдельно Минюст подчеркивает, что ущерб компаний не ограничился зарплатами, выплаченными фиктивным сотрудникам. Как минимум $3 млн ушло на расследование инцидентов, проверку инфраструктуры, очистку сетей и юридическое сопровождение. Это важная деталь: в подобных делах основные потери часто связаны уже не с самим обманом при найме, а с тем, что происходит после обнаружения постороннего человека внутри корпоративной среды.
ФБР ранее предупреждало, что такие «сотрудники» опасны не только как инструмент обхода санкций и вывода денег. После найма они могут получить доступ к исходному коду, внутренним системам, учетным данным и чувствительной информации компании. В отдельных случаях, как отдельно указывали ФБР и IC3, северокорейские ИТ-работники переходили от маскировки к вымогательству: копировали корпоративные репозитории, выносили данные и требовали деньги после того, как их активность замечали.
ФБР советует обращать внимание на несостыковки в документах, повторяющиеся шаблоны резюме, странные смены адресов доставки техники, использование VOIP-номеров, постоянные проблемы с видео на собеседованиях и аномалии при настройке удаленного доступа на корпоративных ноутбуках. Все это само по себе не доказывает мошенничество, но в совокупности может указывать на схему с подменой личности и передачей доступа третьим лицам.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
