На фоне растущей подверженности северокорейских агентов, ищущих (в основном) должности в сфере ИТ в США, у организаций теперь есть шпаргалка, которая поможет распознать потенциальных агентов.
Чтобы понять распространенные ошибки, специалисты по разведке угроз и реагированию на инциденты в Mandiant опросили «десятки» организаций, которые стали жертвами растущей тенденции северокорейских «кротов» получать рабочие места в сфере ИТ в США. Обычно работающие в Китае и России по приказу своего правительства северокорейские рабочие отправляют свои высокие зарплаты на поддержку армии Ким Чен Ына, а также пытаются обеспечить себе долгосрочный доступ к сетям и системам работодателей для будущей финансовой эксплуатации.
В результате этих интервью был получен длинный список советов, которые работодатели должны учитывать при найме на следующие должности, хотя многие из них можно свести к надлежащей комплексной проверке.
Например, анализ одного резюме, принадлежащего известному северокорейскому агенту — одного из многих, изученных Mandiant, — показал, что простой поиск в Интернете общих точек данных привел к обнаружению профилей соискателей под другим именем.
Поиск в Интернете адресов электронной почты, предоставленных заявителями, является хорошим способом найти подобные связанные аккаунты. Если они ведут к профилям с именами, отличными от тех, что указаны в заявке, это может означать, что заявитель подает заявку на несколько должностей в разных компаниях.
Широко известно, что некоторые удаленные ИТ-работники, северокорейцы или нет, пытаются попытать счастья, совмещая работу в нескольких компаниях, и все это ради того, чтобы заработать дополнительные деньги, прежде чем их поведение будет окончательно раскрыто.
Однако это то, чем агенты Пхеньяна особенно известны, эксплуатируя рынок труда США, поэтому индикаторы множественных личностей должны рассматриваться как серьезный красный флаг для работодателей.
Другие рекомендуемые действия для работодателей включают обязательную комплексную проверку биографических данных. Это звучит достаточно просто, но те, которые требуют такие вещи, как биометрическая проверка личности и нотариально заверенное подтверждение личности, будут иметь большое значение для выявления мошеннических заявителей или даже для их сдерживания в первую очередь.
Менеджеры по найму, проводящие собеседования, также должны требовать включения камер во время видеозвонков, чтобы видеопоток можно было сверить с фотографией, предоставленной заявителем. Опять же, это звучит элементарно, но многочисленные предупреждения об угрозе мошеннических работников из Северной Кореи показывают, насколько широко эти, казалось бы, элементарные меры не принимаются.
Отделы кадров также должны быть обучены тому, как определять общие черты среди северокорейских мошеннических заявителей, включая то, как определять, использовался ли ИИ для изменения предоставленных изображений.
Компания Mandiant отметила, что многие из рассмотренных ею резюме были заполнены поддельными изображениями профиля, которые, вероятно, были украдены из общедоступных профилей LinkedIn.
Также знание общих признаков мошеннического резюме может помочь определить, какие кандидаты требуют дальнейшей проверки. Например, Mandiant заявила, что северокорейские агенты часто раскрывают свои карты, указывая адрес в США в качестве своего дома, но сообщают об обучении в зарубежном университете, например, в Японии, Гонконге и Сингапуре. Образовательные учреждения в этих регионах нечасто принимают иностранных студентов, поэтому это должно вызвать опасения относительно легитимности заявления.
«Это несоответствие может помешать потенциальным североамериканским работодателям проверить или связаться с этими зарубежными учреждениями относительно заявителя», — написала в блоге Mandiant. «Mandiant также заметила, что университеты, указанные в проверке биографических данных, могут не соответствовать образованию кандидата, указанному в его резюме, включая время зачисления и завершенные программы обучения».
Поддельные резюме часто создаются на основе существующих общедоступных шаблонов или готовых примеров, поэтому будут общие совпадения между мошенниками и этими резюме с открытым исходным кодом.
Технические инструменты для устранения самозванцев
Пути исследования не заканчиваются на этапе найма. Будь то интуиция или что-то более измеримое, например, низкая производительность труда, у организаций есть средства, доступные им, чтобы отсеять потенциальных мошенников.
Из различных предупреждений, выпущенных США в прошлом, и исторических уголовных дел мы знаем, что для выполнения работы в США, находясь при этом в Китае или России, работнику потребуется доступ к ПК, расположенному в США.
Такой доступ обычно обеспечивается фермой ПК, и граждане США, управляющие ими, могут оказаться в затруднительном положении с законом, как недавно обнаружил один житель Теннесси.
Если есть подозрения, что работник получает выгоду от одной из таких ферм, дополнительные доказательства, подтверждающие эти подозрения, могут быть получены путем мониторинга сетевого трафика с этого устройства.
Подключен ли ноутбук к устройству IP Keyboard Video Mouse (KVM)? Если да, то вы должны спросить, почему настоящему гражданину США может понадобиться доступ к одному из них для выполнения своих должностных обязанностей.
Устанавливает ли работник одно или несколько приложений удаленного управления на свое устройство вскоре после его отправки? Опять же, это определенно ненормальное поведение.
Говоря о доставке, совпадает ли запрошенный адрес доставки с домашним адресом заявителя в файле? Если нет, то ноутбук, выданный компанией, мог быть отправлен и собран на ферме ноутбуков.
«Мы наблюдали, как ИТ-работники КНДР использовали местоположение, связанное с украденной личностью, используемой для трудоустройства, включая украденные водительские права, которые часто не соответствуют месту, куда в конечном итоге отправляется и хранится ноутбук», — заявили в Mandiant.
Мошенники часто направляют свои соединения к этим решениям удаленного управления и KVM через VPN — Astrill VPN является распространенным, но есть и множество других вариантов.
Работодателям, возможно, вообще не придется идти по пути мониторинга трафика, если они немного изменят свой процесс приема на работу. Введение требования проверки серийного номера ноутбука при приеме на работу — один из способов, с помощью которого работодатели могут довольно быстро поймать пользователя фермы ноутбуков. Те, у кого есть физический доступ, смогут обнаружить это в крайнем случае.
Кроме того, еще одной мерой смягчения, рекомендуемой Mandiant, является развертывание аппаратных протоколов MFA, которые заставляют работников взаимодействовать с выданным их компанией устройством. ®