Google Threat Intelligence Groupによると、IT労働者を装う北朝鮮のハッカーたちが英国で仕事を探しているという。彼らの手口、起訴、就労資格の証明に関する認知度の高まりにより、米国での成功率は低下しており、彼らは他国へと目を向けている。
攻撃者は正規のリモートワーカーを装い、収益を得たり、企業の機密データにアクセスしたり、雇用を通じてスパイ活動を行ったりしようとします。研究者は、攻撃者が求人サイトや人材管理プラットフォームのログイン情報を探している様子を観察しました。
「ヨーロッパは早急に目を覚ます必要がある」と、Google脅威インテリジェンス・グループのヨーロッパ地域主任脅威インテリジェンス・アドバイザー、ジェイミー・コリアー氏はTechRepublicへのメールで述べた。「IT担当者の作戦の標的になっているにもかかわらず、あまりにも多くの人がこれを米国の問題だと捉えている。北朝鮮の最近の変化は、米国の作戦上の障害に起因している可能性が高い。これは、IT担当者の機敏性と変化する状況への適応能力を示している。」
参照: 英国のサイバーリスクは「大幅に過小評価されている」と英国の安全保障責任者が警告
ハッカーはより大きな組織や新たな領域を狙っている
Googleによると、10月下旬以降、朝鮮民主主義人民共和国(DPRK)の攻撃者がより大規模な組織や新たな地域を標的にしており、活動が増加しているという。これは英国だけに限ったことではなく、研究者らはドイツ、ポルトガル、セルビア、そしてヨーロッパの他の地域でも活動の増加を示す証拠を発見している。
Googleの研究者は、セルビアのベオグラード大学の学位を記載し、スロバキアの住所を偽装した偽の履歴書を発見しました。さらに、ヨーロッパの求人サイトを閲覧してセルビアで就職する方法(セルビアのタイムゾーンでのコミュニケーションを含む)に関する詳細な指示や、偽造パスポートの作成を仲介するブローカーの存在も発見しました。
より攻撃的な戦術は絶望から生まれる
北朝鮮のIT労働者らは、企業の仮想化インフラ内で業務を移行したり、身代金を支払わなければ解雇後に企業の専有データを公開すると脅したりするなど、より攻撃的な戦術も使っている。
研究者たちは、これは米国における法執行機関による事業取り締まりが強化される中で、収入源を維持しようとする必死の姿勢と関連づけている。かつて労働者は解雇後、再雇用を期待して雇用主との関係を断つことを避けていたが、今では解雇は発覚したことに起因すると考え、雇用主を脅迫するようになっているようだ。
「北朝鮮による最近の攻撃の急増は、SWIFTへの攻撃やランサムウェア、暗号通貨の窃盗やサプライチェーンへの侵入など、過去10年間にわたる多様なサイバー攻撃の後に起きている」とコリアー氏はTechRepublicに語った。「この容赦ない革新は、サイバー作戦を通じて北朝鮮に資金を提供し続けてきた長年の決意を示している」
北朝鮮のIT労働者の活動の仕組み
標的となる業界には防衛・政府機関が含まれており、偽装労働者は「偽造した推薦状を提供し、求人担当者と信頼関係を築き、自らが操る別のペルソナを用いて自身の信頼性を証明している」という。彼らはUpwork、Telegram、Freelancerなどのオンラインプラットフォームを通じて採用されている。
北朝鮮の工作員は、実在の人物から盗んだ個人情報と捏造した情報を組み合わせて、イタリア、日本、マレーシア、シンガポール、ウクライナ、米国、ベトナムなど、様々な国の出身者を装っている。AIを使ってプロフィール写真を生成したり、ビデオインタビュー用のディープフェイクを作成したり、AIライティングツールを使って会話を対象言語に翻訳したりしていることも知られている。
北朝鮮の侵入者は、雇用と引き換えに、求人マーケットプレイス、ボット、コンテンツ管理システム、ブロックチェーン、AIアプリといったウェブソリューションの開発サービスを提供しており、幅広い専門知識を有していることが伺えます。支払いは暗号通貨で行われ、PayoneerやTransferWiseといった越境送金プラットフォームを通じて行われるため、送金元と送金先は秘匿化されています。
IT労働者は、特定の「ファシリテーター」を利用して、自らの活動を支援します。これらは、標的地域に拠点を置く個人または団体であり、仕事の斡旋、本人確認書類の回避、不正な資金の受け取りなどを支援します。Googleチームは、米国と英国の両方でファシリテーターの存在を示す証拠を発見し、ニューヨークで製造されロンドンで動作していた企業用ラップトップを発見しました。
BYOD(Bring Your Own Device)環境は労働者の生活を楽にする
従業員が分散している企業の多くは、従業員が個人所有のデバイスを業務に使用できるBYOD(Bring Your Own Device)ポリシーを導入しています。Googleチームは、1月以降、北朝鮮のIT労働者がこれらの企業を雇用獲得の主要なターゲットとして特定してきたと考えています。
参照:BYODと個人用アプリ:データ侵害のレシピ
企業所有のデバイスには、アクティビティ監視などのセキュリティ機能が多数搭載されている可能性があり、発送先の住所やエンドポイントソフトウェアのインベントリからユーザーを特定できます。そのため、攻撃者は自分のノートパソコンを使って企業の仮想マシン経由で社内システムにアクセスすることで、検出を逃れる可能性が高くなります。
