Нещодавно анонімний білий капелюх успішно зламав пристрій працівника IT з Північної Кореї, викривши те, як технічна команда з п'яти осіб використовувала понад 30 фальшивих ідентичностей для своєї діяльності. Ця команда не лише володіла підробленими документами, виданими урядом, але й проникала в різні проекти розробки, купуючи акаунти на онлайн платформах.
!
Слідчі отримали дані хмарного диска команди, профілі браузера та знімки екрана пристроїв. Дані показують, що ця команда сильно покладається на ряд інструментів однієї компанії пошукових систем для координації робочих графіків, розподілу завдань та управління бюджетом, всі комунікації ведуться англійською мовою.
!
Звіт за тиждень 2025 року розкриває робочі моделі та виклики, з якими стикається ця команда хакерів. Наприклад, деякі учасники повідомляли: "не можуть зрозуміти вимоги до роботи, не знають, що робити", а відповідним рішенням виявилося "вкладати душу, працювати вдвічі більше".
!
Записи про витрати показують, що їхні витратні статті включають покупку соціального страхового номера (SSN), обмін акаунтами на онлайн платформі, оренду номерів телефонів, підписку на послуги ШІ, оренду комп'ютерів, а також закупівлю VPN та проксі-сервісів.
!
Одна з електронних таблиць детально фіксує графік та сценарій виступів для участі в конференції під фальшивою ідентифікацією "Henry Zhang". Процес дій показує, що ці північнокорейські IT працівники спочатку купують акаунт на онлайн платформі, орендують комп'ютерне обладнання, а потім виконують аутсорсингову роботу за допомогою інструментів віддаленого контролю.
!
Один з гаманців, який вони використовували для отримання та відправки коштів, має тісний онлайновий зв'язок з подією атаки на протокол, що сталася в червні 2025 року. Пізніше було підтверджено, що CTO цього протоколу та інші розробники були північнокорейськими IT-робітниками з підробленими документами. Через цю адресу також були ідентифіковані інші північнокорейські IT-учасники в проєктах проникнення.
!
У записах пошуку команди та історії браузера було виявлено також кілька ключових доказів. Окрім вказаних вище шахрайських документів, їхня історія пошуку також показує часте використання онлайн-перекладачів та використання російської IP для перекладу контенту на корейську.
!
Наразі основні виклики, з якими стикаються компанії у запобіганні діяльності IT-робітників з Північної Кореї, включають:
Відсутність системної співпраці: між постачальниками платформи та приватними підприємствами бракує ефективного механізму обміну інформацією та співпраці;
Неналежний нагляд з боку замовника: команда, що наймає, після отримання попередження про ризики часто демонструє оборонну позицію, навіть відмовляється співпрацювати в розслідуванні;
Перевага в кількості: хоча їх технологічні засоби не є складними, вони продовжують проникати на світовий ринок праці завдяки великій базі шукачів роботи;
Канали конвертації коштів: деякі платформи платежів часто використовуються для обміну доходів у фіатній валюті, отриманих від розробницької роботи, на криптовалюту.
Ці відкриття мають певне позитивне значення для проєктів в індустрії щодо попереднього забезпечення безпеки, надаючи нам можливість зрозуміти "робочі" методи північнокорейських хакерів з проактивної точки зору.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Розкриття північнокорейської ІТ Хакерської команди: більше 30 фальшивих ідентифікацій проникають у глобальні проекти розробки
Нещодавно анонімний білий капелюх успішно зламав пристрій працівника IT з Північної Кореї, викривши те, як технічна команда з п'яти осіб використовувала понад 30 фальшивих ідентичностей для своєї діяльності. Ця команда не лише володіла підробленими документами, виданими урядом, але й проникала в різні проекти розробки, купуючи акаунти на онлайн платформах.
!
Слідчі отримали дані хмарного диска команди, профілі браузера та знімки екрана пристроїв. Дані показують, що ця команда сильно покладається на ряд інструментів однієї компанії пошукових систем для координації робочих графіків, розподілу завдань та управління бюджетом, всі комунікації ведуться англійською мовою.
!
Звіт за тиждень 2025 року розкриває робочі моделі та виклики, з якими стикається ця команда хакерів. Наприклад, деякі учасники повідомляли: "не можуть зрозуміти вимоги до роботи, не знають, що робити", а відповідним рішенням виявилося "вкладати душу, працювати вдвічі більше".
!
Записи про витрати показують, що їхні витратні статті включають покупку соціального страхового номера (SSN), обмін акаунтами на онлайн платформі, оренду номерів телефонів, підписку на послуги ШІ, оренду комп'ютерів, а також закупівлю VPN та проксі-сервісів.
!
Одна з електронних таблиць детально фіксує графік та сценарій виступів для участі в конференції під фальшивою ідентифікацією "Henry Zhang". Процес дій показує, що ці північнокорейські IT працівники спочатку купують акаунт на онлайн платформі, орендують комп'ютерне обладнання, а потім виконують аутсорсингову роботу за допомогою інструментів віддаленого контролю.
!
Один з гаманців, який вони використовували для отримання та відправки коштів, має тісний онлайновий зв'язок з подією атаки на протокол, що сталася в червні 2025 року. Пізніше було підтверджено, що CTO цього протоколу та інші розробники були північнокорейськими IT-робітниками з підробленими документами. Через цю адресу також були ідентифіковані інші північнокорейські IT-учасники в проєктах проникнення.
!
У записах пошуку команди та історії браузера було виявлено також кілька ключових доказів. Окрім вказаних вище шахрайських документів, їхня історія пошуку також показує часте використання онлайн-перекладачів та використання російської IP для перекладу контенту на корейську.
!
Наразі основні виклики, з якими стикаються компанії у запобіганні діяльності IT-робітників з Північної Кореї, включають:
Ці відкриття мають певне позитивне значення для проєктів в індустрії щодо попереднього забезпечення безпеки, надаючи нам можливість зрозуміти "робочі" методи північнокорейських хакерів з проактивної точки зору.
!
!
!
!
!
!
!
!