El FBI advirtió hoy que los científicos informáticos norcoreanos están abusando de su acceso para robar el código fuente y extorsionar a las empresas estadounidenses que han sido engañadas para que los contraten.
El servicio de seguridad alertó a organizaciones de los sectores público y privado en los Estados Unidos y en todo el mundo que el ejército de TI de Corea del Norte facilitaría las actividades cibercriminales y exigiría rescates por no revelar datos confidenciales exfiltrados en línea robados de las redes de sus empleadores.
“Los trabajadores de TI de Corea del Norte copiaron repositorios de códigos corporativos, como GitHub, en sus propios perfiles de usuario y cuentas personales en la nube. Si bien no es infrecuente entre los desarrolladores de software, esta actividad representa un riesgo a gran escala de robo de código empresarial. » el FBI dijo.
“Los trabajadores de TI de Corea del Norte podrían intentar recopilar credenciales confidenciales de la empresa y cookies de sesión para iniciar sesiones de trabajo desde dispositivos ajenos a la empresa y comprometer otras oportunidades”.
Para mitigar estos riesgos, el FBI aconsejó a las empresas que aplicaran el principio de privilegio mínimo desactivando las cuentas de administrador local y limitando los permisos para aplicaciones de escritorio remoto. Las organizaciones también deben monitorear el tráfico de red inusual, especialmente las conexiones remotas, porque el personal de TI de Corea del Norte a menudo inicia sesión en la misma cuenta desde diferentes direcciones IP durante un corto período de tiempo.
También recomendó revisar los registros de red y las sesiones del navegador para detectar una posible filtración de datos a través de unidades compartidas, cuentas en la nube y repositorios de códigos privados.
Para fortalecer su proceso de reclutamiento remoto, las empresas deben verificar las identidades durante las entrevistas y los sistemas de recursos humanos de incorporación y referencia cruzada para candidatos con contenido de currículum o información de contacto similar.
Dado que se sabe que los trabajadores de TI de Corea del Norte utilizan inteligencia artificial y tecnología de intercambio de rostros para ocultar sus identidades durante las entrevistas, el personal de recursos humanos y los gerentes de contratación también deben ser conscientes de los riesgos asociados. Además, es fundamental monitorear los cambios en las plataformas de pago y la información de contacto durante la incorporación, ya que estas personas a menudo reutilizan sus direcciones de correo electrónico y números de teléfono en sus currículums.
Otras medidas que deberían ayudar a detectar a los trabajadores de TI de Corea del Norte que intentan eludir los controles de contratación incluyen:
- Verificar que las empresas de contratación externas implementen prácticas de contratación sólidas y auditar periódicamente estas prácticas.
- Usar preguntas “suaves” en la entrevista para pedir a los candidatos detalles específicos sobre su ubicación o educación (los trabajadores de TI de Corea del Norte a menudo afirman haber asistido a instituciones educativas fuera de los EE. UU.),
- Revise los currículums de los candidatos para detectar errores tipográficos y nomenclatura inusual.
- Complete el proceso de contratación e incorporación en persona en la medida de lo posible.
El anuncio de servicio público de hoy sigue advertencias repetidas publicado por el FBI a lo largo de los años sobre el gran ejército de trabajadores de TI de Corea del Norte, que ocultan sus verdaderas identidades para ser contratados en cientos de empresas en los Estados Unidos y en todo el mundo.
También se autodenominan “guerreros de TI” hacerse pasar por personal de TI con sede en EE. UU. conectándose a redes corporativas a través de granjas de portátiles con sede en EE. UU. Después de ser descubiertos y despedidos, algunos de estos trabajadores de TI norcoreanos utilizaron su conocimiento interno para extorsionar a sus antiguos empleadores, amenazando con revelar información confidencial que habían robado de los sistemas de la empresa.
“Vemos cada vez más a trabajadores de TI norcoreanos infiltrarse en grandes organizaciones para robar datos confidenciales y cumplir con sus amenazas de extorsión contra estas empresas. “Tampoco es sorprendente verlos expandir sus operaciones en Europa para replicar su éxito, ya que es más fácil atrapar a los ciudadanos que desconocen su plan”, dijo a BleepingComputer Cloud Michael Barnhart, analista principal de Mandiant en Google.
“Los trabajadores de TI de Corea del Norte también están explotando a algunas empresas que han comenzado a utilizar infraestructura de escritorio virtual (VDI) para sus empleados remotos en lugar de enviarles computadoras portátiles físicas. Si bien esto es más rentable para la empresa, es más fácil para los actores de amenazas ocultarse. su actividad maliciosa.
El Departamento de Estado de Estados Unidos ofrece ahora millones a cambio de información que podría ayudar a perturbar las operaciones de varias empresas fachada de Corea del Norte. Estas empresas generaban ingresos para el régimen del país a través de programas ilegales de trabajo informático a distancia.
En los últimos años, el surcoreano Y japonés Las agencias gubernamentales también han emitido alertas sobre norcoreanos que engañan a empresas privadas y obtienen empleo como trabajadores remotos de TI.
En una declaración conjunta publicada la semana pasada, Estados Unidos, Corea del Sur y Japón revelaron que grupos de hackers patrocinados por el estado de Corea del Norte robaron más de 659 millones de dólares en criptomonedas durante múltiples atracos de criptomonedas durante 2024.
Hoy, el Ministerio de Justicia también acusó a dos ciudadanos norcoreanos y tres facilitadores por su participación en un plan fraudulento de trabajo informático remoto que duró varios años y que les permitió a ellos y a los sospechosos (que aún no han sido acusados) ser contratados por al menos sesenta y cuatro empresas estadounidenses entre abril de 2018 y agosto de 2024.