El Departamento de Justicia de los Estados Unidos (DOJ) anunció el lunes una acción de barrido dirigida al esquema de trabajadores de la Tecnología de la Información de Corea del Norte (TI), lo que lleva al arresto de un individuo y la incautación de 29 cuentas financieras, 21 sitios web fraudulentos y alrededor de 200 computadoras.
La acción coordinada buscó en 21 «granjas portátiles» conocidas o sospechosas en 14 estados de EE. UU., Y utilizada por los trabajadores de TI de Corea del Norte para conectarse de forma remota a la red de víctimas a través de computadoras portátiles proporcionadas por la compañía.
«El actor norcoreano ha adquirido con éxito empleo en más de 100 compañías estadounidenses con el apoyo de individuos de los Estados Unidos, China, los Emiratos Árabes Unidos y Taiwán», dijo el Departamento de Justicia.
El esquema de trabajadores de TI de Corea del Norte se ha convertido en uno de los engranajes clave en la máquina de generación de ingresos de la República Democrática de Corea del Norte (DPRK). Una operación fraudulenta, descrita como un sindicato de delitos patrocinado por el estado por la compañía de seguridad cibernética DTEX, implica el uso de una mezcla de identidades ficticias robadas para adquirir empleo con empresas estadounidenses como trabajadores de TI remotos.
Una vez que lleguen a trabajar, los trabajadores de TI recibirán pagos regulares de nómina y tendrán acceso a la información de su propio empleador, incluida la tecnología militar estadounidense controlada por exportaciones y la criptomoneda. En un incidente, se dice que el trabajador de TI ha asegurado empleo en una compañía de investigación y desarrollo de Blockchain con sede en Atlanta y robó más de $ 900,000 en activos digitales.
Los trabajadores de TI de Corea del Norte son una amenaza grave. Porque no solo generan ingresos ilegales para el reino ermitaño a través del trabajo «legal», sino que también obligan a sus empleadores a cambio de acceso privilegiado para armarse sus armas, cosechar datos confidenciales, robar fondos e incluso publicar sus datos.
«Estos esquemas están diseñados para atacar y robar empresas estadounidenses, evitar sanciones y financiar los programas ilegales del régimen de Corea del Norte, incluido el programa de armas», dijo el fiscal general John A. Eisenberg, la agencia de seguridad nacional del departamento.
El mes pasado, el DOJ dijo que presentó una queja de decomiso civil en los tribunales federales que se dirigió a más de $ 7.74 millones en criptomonedas, tokens inapropiados (NFT) y otros activos digitales vinculados al esquema global de trabajadores de TI.
«Corea del Norte tiene la intención de financiar el programa de armas estafando a las empresas estadounidenses y explotando el robo de identidad a las víctimas estadounidenses», dijo Roman Rozhabski, asistente de la división antiintelectual del FBI. «Los trabajadores de TI de Corea del Norte que pretenden ser ciudadanos estadounidenses pudieron poner cientos de millones de dólares en el régimen autoritario de Corea del Norte, ya que adquirieron fraudulentamente empleo con empresas estadounidenses».
En las acciones anunciadas el lunes, los Jefes incluyen el arresto del Rey de Nueva Jersey «Danny» y «Danny»; El Rey de Nueva Jersey ha sido acusado de comunicarse con las empresas estadounidenses cometiendo un esquema de fraude de varios años que conspira con sus conspiradores y conspiradores, y finalmente genera más de $ 5 millones en ingresos.
Otras personas que participaron en el esquema incluyen seis nacionales chinos y dos taiwaneses –
Jing bin Huang (Jing Bin) Baoyu Zhou (Zhou Zhou Ju) Tong Yuze (Yongzhe Xu (y Andçαyouyuan (زز®)
Según la acusación, el acusado y otros conspiradores violaron las identidades de más de 80 individuos estadounidenses para obtener trabajos remotos en más de 100 compañías estadounidenses entre 2021 y octubre de 2024. Discutir esquemas con co-conspiradores y trabajadores de TI en el extranjero.
Para hacer que los trabajadores remotos piensen que tienen su sede en los EE. UU., Wang et al recibieron y alojaron computadoras portátiles emitidas por la compañía en Residences, y usaron interruptores de KVM (abreviatura de «Keyboard-Video Mouse») como PIKVM y TinyPilot para permitir a los actores de amenaza de Corea del Norte para conectarse a estos dispositivos.
«Kejia Wang y Zhenxing Wang también han establecido compañías shell con sitios web y cuentas financieras correspondientes, como Hopana Tech LLC, Tony WKJ LLC e Independent Lab LLC, lo que hace que parezca que los trabajadores de TI en el extranjero pertenecen a operaciones legítimas de los Estados Unidos», dijo DOJ. «Kejia Wang y Zhenxing Wang establecieron estas y otras cuentas financieras para recibir dinero de compañías víctimas de EE. UU., Muchas de las cuales fueron entregadas posteriormente a los conspiradores extranjeros».
A cambio de estos servicios, se estima que Wang y sus conspiradores recibieron más de $ 696,000 de trabajadores de TI.
Por separado, el distrito del norte de Georgia ha sellado cinco cargos de cargos de fraude y lavado de dinero que reclaman a cinco nacionales norcoreanos, Kim Kwang Jin, Kang Tae Bok, Jong Bong Joo y Jang Nam Il.
Los documentos judiciales alegan que el acusado viajó a los Emiratos Árabes Unidos en documentos de Corea del Norte en octubre de 2019 y trabajó juntos como equipo. Entre diciembre de 2020 y mayo de 2021, Kim Kwan Jin y Jong Bong Joo fueron contratados como desarrolladores por compañías de blockchain y compañías de token virtual serbio, respectivamente. La compañía serbia luego contrató a Jang Nam Il y actuó por recomendación de Jong Bong Joo.
Después de que Kim Kwang Jin y Jong Pong Ju recibieron la confianza de sus empleadores y se les asignó un proyecto para otorgar acceso a los activos de criptografía de la compañía, los actores de amenaza comenzaron a robar sus activos en febrero y marzo de 2022.
Los ingresos robados se lavaron luego utilizando un mezclador de criptomonedas y finalmente se transfirieron a cuentas de intercambio de criptomonedas administradas por Kang Tae Bok y Chang Nam IL. Según el Departamento de Justicia, estas cuentas se abrieron utilizando documentos de identificación ilícita de Malasia.
«Estos arrestos son un poderoso recordatorio de que la amenaza planteada por los trabajadores de TI de la RPDC está más allá de la generación de ingresos,» Michael «Barni» Burnhart, investigador de riesgos Insider de DTEX director i3, dijo a Hacker News en un comunicado. «Cuando ingresan, pueden participar en actividades maliciosas de sus redes confiables, plantea graves riesgos para la seguridad nacional y las empresas de todo el mundo».
«Las acciones del gobierno de EE. UU. (…) son absolutamente de primera categoría y son un paso crítico para interrumpir esta amenaza. Los actores de la RPDC están utilizando compañías frontales y terceros de confianza más allá de las salvaguardas de empleo tradicionales, incluidos casos observados de sectores sensibles como el gobierno y la Fundación de la Industria de Defensa.
Microsoft suspende 3.000 cuentas de correo electrónico vinculadas a los trabajadores de TI
Desde 2020, Microsoft, que ha estado rastreando la amenaza de los trabajadores de TI bajo Jasper Sleet de apodo (anteriormente Storm-0287), dijo que ha suspendido 3.000 cuentas conocidas de Outlook/Hotmail creadas por actores de amenaza como parte de un esfuerzo más amplio para interrumpir las operaciones cibernéticas de Corea del Norte. Los grupos de actividad también se rastrean como Tapestry de níquel, Wagemole y UNC5267.
Los esquemas de fraude de los trabajadores comienzan estableciendo su identidad para que coincidan con el diseño geográfico de la organización objetivo, luego se encarnen digitalmente a través de perfiles de redes sociales y carteras fabricadas, dando a las personas una apariencia de legitimidad en plataformas orientadas a desarrolladores como GitHub.
El gigante tecnológico ha pedido la explotación de las herramientas de IA (IA) para los trabajadores de TI, mejorando la confiabilidad de sus perfiles de empleo y revisar sus voces para que se vean más auténticos para los empleadores. También se ha descubierto que los trabajadores de TI establecerán perfiles falsos en los requisitos, se comunicarán con los reclutadores y solicitarán empleo.
«Estos trabajadores altamente calificados se encuentran principalmente en Corea del Norte, China y Rusia, y usan herramientas como redes privadas virtuales (VPN) y herramientas de monitoreo y gestión remota (RMM) para capturar cómplices para ocultar su ubicación e identidad».
Otra táctica notable para Jasperyed gira en torno a publicar anuncios de trabajo del facilitador bajo la apariencia de asociaciones de trabajo remotos para ayudar a los trabajadores de TI a asegurar el empleo, aprobar los controles de identidad y trabajar de forma remota. A medida que su relación con los facilitadores crece, también pueden tener la tarea de crear una cuenta bancaria para trabajadores de TI o comprar un número de móvil o una tarjeta SIM.
Además, los cómplices de Witting son responsables de verificar la identidad falsa de los trabajadores de TI durante el proceso de verificación de empleo utilizando un proveedor de servicios de verificación de antecedentes en línea. Los documentos presentados incluyen una licencia de conducir falsa o robada, tarjeta de Seguro Social, Pasaporte e identificación de residentes de los residentes.
Como una forma de combatir las amenazas, Microsoft dijo que ha desarrollado una solución de aprendizaje automático personalizado con su propia inteligencia de amenazas que le permite ver cuentas sospechosas que muestran la Tradecraft de RPDC conocida y la Tradecraft de RPDC conocida para acciones posteriores.
«El esquema de trabajadores remotos fraudulentos de Corea del Norte ha evolucionado y se ha establecido como un negocio bien desarrollado que permitió a los trabajadores remotos de Corea del Norte infiltrarse en funciones relacionadas con la tecnología en una variedad de industrias», dijo Redmond. «En algunos casos, las organizaciones víctimas incluso informan que los trabajadores remotos de TI son algunos de los empleados más talentosos».
Source link
