Sicurezza Informatica

Minaccia dei lavoratori IT nordcoreani: furto di dati, estorsioni. FBI in allerta sicurezza

da Livio Varriale
scritto da Livio Varriale 0 commenti 7 minuti leggi
lavoratori IT corea del nord

Il Federal Bureau of Investigation (FBI) ha rilasciato un avviso aggiornato riguardo ai lavoratori IT nordcoreani, evidenziando le loro attività sempre più dannose. Questi individui, operanti sotto il regime della Corea del Nord, sono stati coinvolti in estorsioni di dati, furto di proprietà intellettuale e compromissione di reti aziendali.

Attività sospette e metodi di attacco dei lavoratori IT nordcoreani

I lavoratori IT nordcoreani utilizzano accessi illeciti alle reti aziendali per:

  • Estorsione: Dopo essere stati scoperti, hanno minacciato le aziende di pubblicare dati sensibili se non fossero stati soddisfatti i loro requisiti di riscatto. Alcune aziende hanno visto il loro codice sorgente divulgato pubblicamente.
  • Furto di codice: Utilizzano piattaforme come GitHub per copiare repository aziendali su profili personali o account cloud, aumentando il rischio di perdita di dati proprietari.
  • Harvesting di credenziali: Rubano credenziali aziendali e cookie di sessione per avviare accessi da dispositivi non autorizzati, favorendo ulteriori compromissioni.

Raccomandazioni per proteggere le aziende

fbi
fbi

Monitoraggio dei dati

  • Applicare il principio del Least Privilege, limitando i privilegi degli utenti e disabilitando account amministrativi locali inutilizzati.
  • Monitorare traffico di rete anomalo, connessioni remote e presenza di protocolli desktop remoto non autorizzati.
  • Controllare i registri di rete per rilevare attività sospette, come accessi multipli da IP diversi o trasferimenti di dati su cloud e repository privati.
  • Identificare software che supportano comunicazioni simultanee audio/video, spesso usati per mascherare l’identità degli attaccanti.

Rafforzare i processi di assunzione remota

  • Implementare verifiche d’identità durante il colloquio e il processo di onboarding. L’FBI ha rilevato l’uso di tecnologie di face-swapping e intelligenza artificiale per nascondere l’identità dei candidati.
  • Formare i team HR e di sviluppo su come individuare segnali di rischio, come cambiamenti improvvisi negli indirizzi o nei metodi di pagamento.
  • Verificare numeri di telefono e email presenti sui curriculum per rilevare utilizzi multipli da parte dello stesso attaccante.
  • Utilizzare domande di colloquio “soft” per indagare su dettagli di posizione geografica o background educativo.

Misure di sicurezza aggiuntive

Oltre al monitoraggio e al rafforzamento dei processi di assunzione, l’FBI raccomanda ulteriori azioni preventive:

  • Audit regolari delle pratiche di assunzione: Collaborare con agenzie di collocamento per garantire che adottino processi rigorosi e verificare periodicamente le loro metodologie.
  • Interviste in persona: Completare il più possibile le fasi di assunzione e onboarding di persona, per ridurre il rischio di frodi.
  • Valutazioni continue delle reti aziendali: Implementare software di rilevamento delle intrusioni per monitorare i dispositivi sospetti, registrare attività e segnalare accessi non autorizzati.

Come segnalare attività sospette

Se un’azienda sospetta di essere stata vittima di un attacco condotto da lavoratori IT nordcoreani, l’FBI suggerisce di:

  1. Segnalare immediatamente l’attività sospetta all’Internet Crime Complaint Center (IC3).
  2. Valutare il traffico di rete e il dispositivo associato al lavoratore sospetto, utilizzando software di rilevamento delle intrusioni per catturare e analizzare i dati.

Contesto storico delle attività nordcoreane

Le operazioni dei lavoratori IT nordcoreani non sono nuove. Dal 2022, il governo degli Stati Uniti, in collaborazione con partner internazionali, ha emesso diversi avvisi relativi a queste minacce:

  • 2022 e 2023: Pubblicati rapporti sui metodi operativi nordcoreani, inclusi indicatori di rischio e misure di due diligence per evitare assunzioni fraudolente.
  • Maggio 2024: L’FBI ha fornito linee guida aggiornate, rilevando l’uso di individui statunitensi, consapevoli o inconsapevoli, per facilitare le attività dei lavoratori nordcoreani.

Queste attività sono spesso mirate a generare reddito per il regime nordcoreano, utilizzato per finanziare operazioni militari o altri progetti governativi.

Impatto globale delle attività nordcoreane

Le campagne di cyber-attacco condotte da lavoratori IT nordcoreani dimostrano un’elevata capacità di adattamento e innovazione. Gli strumenti come l’AI e il face-swapping indicano una sofisticazione crescente, rendendo essenziale per aziende e governi collaborare per prevenire ulteriori compromissioni.

Cinque individui incriminati per frode IT legata alla Corea del Nord: un’indagine del DoJ

Il Dipartimento di Giustizia degli Stati Uniti (DoJ) ha annunciato l’incriminazione di cinque persone coinvolte in uno schema fraudolento che ha generato oltre 866.000 dollari a favore del regime nordcoreano. Tra gli imputati figurano due cittadini nordcoreani, un messicano e due cittadini statunitensi.

Un sistema fraudolento su scala internazionale

Lo schema, attivo dal 2018 al 2024, coinvolgeva l’uso di identità false per ottenere lavoro presso aziende IT statunitensi. Gli imputati utilizzavano strumenti avanzati come proxy, computer remoti e identità rubate per nascondere la loro vera origine. In particolare, i lavoratori nordcoreani operavano da Cina e Russia, accedendo ai sistemi aziendali tramite software di controllo remoto come AnyDesk e TeamViewer.

Operazioni chiave

  • Falsificazione dell’identità: Jin Sung-Il, uno degli imputati, ha utilizzato l’identità del cittadino messicano Pedro Alonso per ottenere un impiego presso un’azienda IT statunitense con uno stipendio annuo di 120.000 dollari.
  • Lavaggio di denaro: I proventi generati venivano trasferiti a conti bancari cinesi per essere poi incanalati in Corea del Nord.
  • Laptop farms: I co-cospiratori statunitensi gestivano computer forniti dalle aziende vittime, installando software per consentire l’accesso remoto da parte dei lavoratori nordcoreani.

Obiettivi dello schema

Oltre a generare denaro per il regime nordcoreano, il sistema mirava anche a:

  1. Estorsione di dati: Gli imputati accedevano a dati aziendali sensibili, talvolta pubblicandoli online per ricattare le aziende.
  2. Furto di codice sorgente: Repository di codice su piattaforme come GitHub venivano sottratti per ottenere un vantaggio tecnologico o economico.
  3. Accesso alle reti aziendali: Lavoratori nordcoreani sfruttavano queste opportunità per esfiltrare credenziali e cookie di sessione.

Implicazioni globali dello schema

Lo schema non si limita agli Stati Uniti: aziende in Giappone e altre nazioni sono state colpite da lavoratori nordcoreani che utilizzano identità false per infiltrarsi in aziende tecnologiche. Un rapporto della società di intelligence Nisos ha rivelato che lavoratori IT nordcoreani si presentano come sviluppatori full-stack o ingegneri software, utilizzando:

  • Profili digitali falsificati su piattaforme come GitHub, LaborX e Remote OK.
  • Siti personali con immagini di stock manipolate per sembrare autentici.
  • Documenti di identità rubati o falsi per superare le verifiche.

In Giappone, un lavoratore nordcoreano operante sotto il nome di Weitao Wang ha ricoperto ruoli tecnici presso aziende come Tenpct Inc., mentre precedentemente lavorava come Osamu Odaka presso LinkX Inc.

La risposta delle autorità

Negli ultimi anni, il governo statunitense ha intensificato gli sforzi per contrastare le attività informatiche della Corea del Nord. Tra le azioni più rilevanti:

  1. Arresti e incriminazioni:
    • Nel 2024, 14 cittadini nordcoreani sono stati incriminati per una frode da 88 milioni di dollari legata al lavoro IT remoto.
    • Il DoJ ha anche arrestato un uomo del Tennessee per aver aiutato lavoratori nordcoreani a ottenere impieghi in aziende statunitensi.
  2. Sanzioni finanziarie: Il Dipartimento del Tesoro ha recentemente sanzionato due cittadini nordcoreani e quattro aziende in Laos e Cina che facilitavano queste attività.

Queste misure mirano non solo a interrompere i flussi di denaro verso il regime nordcoreano, ma anche a proteggere le aziende dagli attacchi informatici.

Raccomandazioni per le aziende

Per evitare di diventare vittime di schemi simili, le aziende devono adottare misure di sicurezza rigorose:

Annunci
  1. Verifiche approfondite durante il reclutamento: Implementare controlli accurati delle identità dei candidati, incluso il confronto con database globali per identificare documenti falsificati.
  2. Monitoraggio delle attività remote: Utilizzare strumenti di sicurezza che analizzino comportamenti anomali nei dispositivi aziendali, come accessi non autorizzati o l’uso di software di controllo remoto.
  3. Segmentazione della rete: Limitare l’accesso ai dati sensibili solo al personale essenziale e monitorare regolarmente le autorizzazioni.
  4. Formazione dei dipendenti: Sensibilizzare il personale sui rischi legati ai lavoratori remoti e alle identità false, fornendo esempi pratici di comportamenti sospetti.

Lo schema fraudolento dei lavoratori IT nordcoreani dimostra come il regime utilizzi tecniche sofisticate per generare fondi e compromettere la sicurezza globale. La combinazione di frodi, furti di dati e riciclaggio di denaro rappresenta una minaccia concreta per aziende e governi.

Solo attraverso una cooperazione internazionale e l’adozione di misure preventive rigorose è possibile contrastare queste attività, proteggendo le risorse aziendali e limitando le opportunità di finanziamento per il regime nordcoreano.

Le minacce rappresentate dai lavoratori IT nordcoreani richiedono un approccio proattivo e multilivello. Attraverso pratiche di assunzione più rigorose, un monitoraggio continuo delle reti e una rapida segnalazione delle attività sospette, le aziende possono proteggersi da furti di dati, estorsioni e compromissioni di sistema. La vigilanza e la collaborazione internazionale rimangono fondamentali per contrastare queste attività dannose e proteggere le risorse aziendali su cui la Corea del Nord è interessata e vanta una grande esperienza ai fini della guerra cibernetica.

Potreste Essere Interessati

Giornalista e scrittore: le sue specializzazioni sono in Politica, Crimine Informatico, Comunicazione Istituzionale, Cultura e Trasformazione digitale. Autore del saggio sul Dark Web e il futuro della società digitale “La prigione dell’umanità” e di “Cultura digitale”. Appassionato di Osint e autore di diverse ricerche pubblicate da testate Nazionali. Attivista contro l’abuso dei minori, il suo motto è “Coerenza, Costanza, CoScienza”.

Si può anche come

Rayhunter: strumento open-source dell’EFF per rilevare la sorveglianza...

Morto Carmine Gallo, ex superpoliziotto ai domiciliari per...

Apple: novità in arrivo con visionOS 3, iOS...

EncryptHub: nuova minaccia malware multi-stadio che colpisce utenti...

Matrice Digitale colpisce ancora: ACN sotto i riflettori,...

SilentCryptoMiner: la nuova minaccia diffusa su YouTube

Logo Matrice Digitale, sicurezza, informatica, mondo digitale, confronto smartphones

Matrice Digitale è un media INDIPENDENTE sul mondo della tecnologia. Specializzato in Guerra Cibernetica, Cybersecurity e Cybercrime, Matrice Digitale realizza inchieste ed analisi OSINT esclusive.  

Leggi la trasparenza

Iscriviti alla Newsletter

MatriceDigitale.it – Copyright © 2024, Livio Varriale – Registrazione Tribunale di Napoli n° 60 del 18/11/2021. – P.IVA IT10498911212 Privacy Policy e Cookies

Facebook Twitter Instagram Youtube Rss Envelope

Developed with love by Giuseppe Ferrara