Хакер з КНДР вкрав $10 млн, видаючи себе за IT-рекрутера та інвестора

Аналітики Microsoft Threat Intelligence опублікували доповідь про поточний стан хакерських загроз з використанням засобів соціальної інженерії. Згідно з документом, одну з найбільших загроз зараз представляють хакери з Північної Кореї, які активно підтримуються з боку держави.

Експерти навели приклад північнокорейського хакера під ім’ям Sapphire Sleet, діяльність якого відстежується з 2020 року. Аналіз Microsoft вказує, що цей кіберзлочинець усього за шість місяців викрав криптовалюту на суму понад $10 мільйонів. 

Протягом останніх півтора років Sapphire Sleet маскувався під венчурного капіталіста, вдаючи зацікавленість в інвестиціях у компанію потенційної жертви. Для цього зловмисник призначав онлайн-зустріч. Коли жертва намагалась підключитися до наради, вони отримувала або завислий екран, або повідомлення про помилку, в якій було зазначено, що слід звернутися до адміністратора або служби підтримки для отримання допомоги.

Коли жертва зв’язувалась з «адміністратором», їй надсилали скрипт — файл .scpt (Mac) або файл скрипту Visual Basic ( .vbs ) (Windows) – для «виправлення проблеми з підключенням». Це призводило до завантаження зловмисного програмного забезпечення на пристрій користувача. Після цього троян отримував контроль над криптовалютними гаманцями та іншими обліковими даними на скомпрометованому пристрої, що давало змогу викрадати криптовалюту.  

Ще один сценарій дій Sapphire Sleet полягав в тому, що він видавав себе за IT-рекрутера, який на LinkedIn шукав кандидатів для заповнення вакансій. Звертаючись до потенційних жертв, хакер повідомляв їм про те, що їхні технічні навички в цілому відповідають вакансії, але треба виконати тестове завдання. Далі зловмисник просив користувачів пройти оцінку навичок на веб-сайті, який знаходився під його контролем. Хакер надсилав жертві логін і пароль для входу. Увійшовши на веб-сайт і завантаживши код, пов’язаний з «оцінкою навичок», користувач завантажував шкідливе програмне забезпечення на свій пристрій.

На додаток до використання хакерів протягом багатьох років, Північна Корея відправила тисячі ІТ-працівників за кордон, щоб вони заробляли гроші для режиму КНДР. За оцінками Microsoft Threat Intelligence, ці ІТ-працівники принесли Північній Кореї сотні мільйонів доларів, працюючи переважно з Росії та Китаю.

Примітно, що одна з перших речей, які робить айтівець з Північної Кореї, – це створення фальшивого портфоліо. Microsoft Threat Intelligence виявила на GitHub сотні підроблених профілів і портфоліо для ІТ-працівників з Північної Кореї. Крім того, айтівці з КНДР використовували підроблені профілі в LinkedIn для спілкування з рекрутерами та подання заявок на роботу. 

Північнокорейські ІТ-працівники викрадають особисті дані інших людей та використовують інструменти штучного інтелекту, такі як Faceswap, щоб перемістити своє зображення на документи, які вони вкрали у жертв. Зловмисники використовують Faceswap також і для того, щоб переміщувати свої обличчя на фото в більш професійних умовах: наприклад, у офісах відомих компаній. Зображення, створені ІТ-працівниками з КНДР за допомогою інструментів штучного інтелекту, потім використовуються в резюме або профілях.