L’FBI ha lanciato un avvertimento riguardo agli hacker nordcoreani che utilizzano servizi VPN, documenti d’identità rubati e account falsi sui social media per ingannare le aziende statunitensi e farsi assumere come lavoratori IT remoti.
Metodi di inganno
Nonostante non sia chiaro quando questa campagna sia iniziata, gli investigatori ritengono che migliaia di freelance IT provenienti dalla Corea del Nord siano riusciti a ottenere un lavoro nelle aziende statunitensi negli ultimi cinque anni, celando la loro vera identità. Si ritiene che questi lavoratori utilizzino i guadagni per finanziare le armi di Kim Jong Un, rubare segreti aziendali e impiantare malware.
Risposta delle autorità
In seguito alle ultime prove, sia le autorità statunitensi che quelle sudcoreane hanno aggiornato le loro linee guida per aiutare i datori di lavoro a evitare di assumere agenti nordcoreani come lavoratori freelance.
Dettagli sulle attività degli hacker
Jay Greenberg, agente dell’FBI a capo della Divisione di St. Louis, ha dichiarato che la Corea del Nord ha inondato il mercato globale con lavoratori IT con cattive intenzioni. La divisione di Greenberg è riuscita a sequestrare circa $1,5 milioni e 17 nomi di dominio web utilizzati nella campagna ingannevole. Tuttavia, si ritiene che l’infiltrazione delle aziende da parte di lavoratori collegati alla Repubblica Democratica Popolare di Corea (RDPC) sia ancora in corso.
Gli hacker nordcoreani hanno utilizzato vari metodi per ingannare i datori di lavoro e nascondere la loro vera identità. Tra questi, l’uso di documenti d’identità rubati o contraffatti per superare facilmente i controlli d’identità online e l’assunzione di individui statunitensi per partecipare a interviste online e videoconferenze al loro posto. A livello tecnologico, utilizzano reti VPN virtuali per falsificare la loro posizione IP e aumentare la loro anonimato. Inoltre, potrebbero creare account falsi sui social media e/o siti web aziendali falsi per apparire più legittimi.
Raccomandazioni dell’FBI
L’FBI suggerisce di prestare attenzione a comportamenti sospetti, come richieste ripetute di pagamento anticipato accompagnate da minacce di rilasciare codice sorgente proprietario, rifiuto continuo di apparire in video o di sottoporsi a test antidroga, e l’uso di indirizzi di spedizione in continua evoluzione invece dei loro indirizzi di casa. Si raccomanda inoltre di effettuare controlli di background online e di tenere traccia di tutte le interazioni con potenziali dipendenti. A livello di sicurezza online, si consiglia di richiedere ai freelance di disattivare la loro VPN privata quando accedono alle reti aziendali e di adottare un rigoroso approccio di cybersecurity “zero trust”.