Bạn có phải là freelancer? Các gián điệp Bắc Hàn có thể đang lợi dụng bạn

Bắc Hàn đang tuyển dụng freelancer làm đại diện danh tính để giành các hợp đồng từ xa và tài khoản ngân hàng, dựa trên nghiên cứu tình báo mạng gần đây.

Các nhân viên IT của Bắc Hàn đang thay đổi chiến lược và tuyển dụng freelancer để cung cấp danh tính proxy cho các công việc từ xa.

Các nhân viên này đang liên hệ với người tìm việc trên các nền tảng như Upwork, Freelancer và GitHub trước khi chuyển cuộc trò chuyện sang Telegram hoặc Discord, nơi họ hướng dẫn họ thiết lập phần mềm truy cập từ xa và vượt qua xác minh danh tính.

Trong các trường hợp trước đây, nhân viên Bắc Hàn đã giành được các công việc từ xa bằng cách sử dụng giấy tờ giả mạo. Theo một chuyên gia tình báo mối đe dọa mạng, các nhân viên này hiện đang tránh các rào cản đó bằng cách làm việc qua người dùng đã xác minh, những người chuyển giao quyền truy cập từ xa vào máy tính của họ.

Những người sở hữu thực sự của danh tính chỉ nhận được một phần năm số tiền trả, trong khi phần còn lại của quỹ được chuyển hướng cho các nhân viên qua tiền điện tử hoặc tài khoản ngân hàng truyền thống. Bằng cách dựa vào danh tính thực và kết nối internet địa phương, các nhân viên có thể vượt qua các hệ thống được thiết kế để phát hiện các khu vực địa lý rủi ro cao và VPN.

Bên trong sách chiến lược tuyển dụng đang phát triển của nhân viên IT Bắc Hàn

Đầu năm nay, một chuyên gia mạng đã thiết lập một công ty tiền điện tử giả và phỏng vấn một nhân viên Bắc Hàn nghi ngờ đang tìm kiếm vai trò công nghệ từ xa. Ứng viên tuyên bố là người Nhật Bản, sau đó đột ngột kết thúc cuộc gọi khi được yêu cầu giới thiệu bản thân bằng tiếng Nhật.

Chuyên gia tiếp tục cuộc trò chuyện qua tin nhắn riêng. Nhân viên nghi ngờ yêu cầu mua máy tính và cung cấp quyền truy cập từ xa.

Yêu cầu này phù hợp với các mẫu mà chuyên gia sau đó gặp phải. Bằng chứng liên quan đến các hồ sơ đáng ngờ bao gồm bài thuyết trình onboarding, kịch bản tuyển dụng và tài liệu danh tính được sử dụng lại nhiều lần.

Chuyên gia cho biết:

Họ cài đặt phần mềm truy cập từ xa như AnyDesk hoặc Chrome Remote Desktop và làm việc từ máy của nạn nhân để nền tảng thấy địa chỉ IP địa phương.

Những người chuyển giao máy tính của họ là nạn nhân. Họ không nhận thức được và nghĩ rằng họ đang tham gia một thỏa thuận ký hợp đồng bình thường.

Theo các bản ghi chat được xem xét, các ứng viên hỏi các câu hỏi cơ bản như "Làm thế nào chúng ta sẽ kiếm tiền?" và không thực hiện bất kỳ công việc kỹ thuật nào. Họ xác minh tài khoản, cài đặt phần mềm truy cập từ xa và giữ thiết bị trực tuyến trong khi các nhân viên nộp đơn xin việc, nói chuyện với khách hàng và giao công việc dưới danh tính của họ.

Mặc dù hầu hết dường như là nạn nhân không biết họ đang tương tác với ai, một số dường như biết chính xác họ đang làm gì.

Vào tháng 8 năm 2024, cơ quan chức năng đã bắt giữ một cá nhân vì điều hành một trang trại máy tính cho phép nhân viên IT Bắc Hàn xuất hiện như nhân viên dựa trên Mỹ bằng cách sử dụng danh tính bị đánh cắp.

Gần đây hơn ở Arizona, một người khác bị kết án hơn tám năm tù vì tổ chức hoạt động tương tự đã chuyển hơn 17 triệu đô la cho Bắc Hàn.

Mô hình tuyển dụng dựa trên sự dễ bị tổn thương

Các ứng viên quý giá nhất là ở Mỹ, châu Âu và một số khu vực ở châu Á, nơi tài khoản đã xác minh cung cấp quyền truy cập vào các công việc doanh nghiệp có giá trị cao và ít hạn chế địa lý hơn. Nghiên cứu cũng quan sát thấy tài liệu thuộc về cá nhân từ các khu vực có bất ổn kinh tế, chẳng hạn như Ukraine và Đông Nam Á.

Họ nhắm đến người có thu nhập thấp và những người dễ bị tổn thương. Nghiên cứu thậm chí thấy họ cố gắng tiếp cận người khuyết tật.

Bắc Hàn đã dành nhiều năm xâm nhập vào các ngành công nghệ và tiền điện tử để tạo ra doanh thu và giành chỗ đứng doanh nghiệp ở nước ngoài. Báo cáo cho thấy công việc IT của DPRK và trộm cắp tiền điện tử có thể đang tài trợ cho chương trình tên lửa và vũ khí của quốc gia.

Chuyên gia cho biết chiến thuật này vượt xa tiền điện tử. Trong một trường hợp được xem xét, một nhân viên DPRK sử dụng danh tính Mỹ bị đánh cắp để tự giới thiệu là kiến trúc sư từ Illinois, đấu thầu các dự án liên quan đến xây dựng trên Upwork. Khách hàng của họ nhận được công việc soạn thảo hoàn thành.

Mặc dù tập trung vào các hoạt động liên quan đến tiền điện tử, nghiên cứu phát hiện rằng các kênh tài chính truyền thống cũng đang bị lạm dụng. Mô hình proxy danh tính tương tự cho phép các actor bất hợp pháp nhận thanh toán ngân hàng dưới tên hợp pháp.

Không chỉ là tiền điện tử. Họ làm mọi thứ — kiến trúc, thiết kế, hỗ trợ khách hàng, bất cứ điều gì họ có thể truy cập.

Tại sao các nền tảng vẫn khó phát hiện ai thực sự đang làm việc

Ngay cả khi các đội tuyển dụng ngày càng cảnh giác với rủi ro của nhân viên Bắc Hàn giành được vai trò từ xa, việc phát hiện chỉ xảy ra sau khi hành vi bất thường kích hoạt cờ cảnh báo. Khi một tài khoản bị xâm phạm, các actor chuyển sang danh tính mới và tiếp tục làm việc.

Trong một trường hợp, sau khi một hồ sơ Upwork bị đình chỉ vì hoạt động quá mức, nhân viên đã hướng dẫn ứng viên yêu cầu một thành viên gia đình mở tài khoản tiếp theo, theo các bản ghi chat được xem xét.

Sự luân phiên của danh tính làm cho cả trách nhiệm và quy trách nhiệm trở nên khó khăn. Người có tên và giấy tờ trên tài khoản thường bị lừa dối, trong khi cá nhân thực sự làm việc đang hoạt động từ một quốc gia khác và không bao giờ trực tiếp可见 với các nền tảng freelancer hoặc khách hàng.

Điểm mạnh của mô hình này là mọi thứ mà hệ thống tuân thủ có thể thấy đều trông hợp pháp. Danh tính là thực, và kết nối internet là địa phương. Trên giấy tờ, nhân viên đáp ứng mọi yêu cầu, nhưng người đằng sau bàn phím là ai đó hoàn toàn khác.

Chuyên gia cho biết dấu hiệu đỏ rõ ràng nhất là bất kỳ yêu cầu nào để cài đặt công cụ truy cập từ xa hoặc cho phép ai đó "làm việc" từ tài khoản đã xác minh của bạn. Quy trình tuyển dụng hợp pháp không cần kiểm soát thiết bị hoặc danh tính của bạn.

Theo Cointelegraph

Tin khác