Per accedere ai computer delle aziende e rubare dati viene solitamente utilizzata una combinazione di phishing, ingegneria sociale e infostealer. Microsoft ha descritto la tecnica del “remote IT worker” sfruttata dal gruppo nordcoreano Jasper Sleet. Attraverso false identità e intermediari, i cybercriminali riescono ad ottenere un lavoro remoto dalle vittime. Il Dipartimento di Giustizia degli Stati Uniti ha arrestato e individuato diverse persone.
Migliaia di lavoratori nordcoreani
Microsoft ha rilevato questo tipo di attività a partire dal 2020. Migliaia di lavoratori nordcoreani sono stati assunti da oltre 300 aziende statunitensi. Queste ultime hanno però ricevuto curricula e altri dati fasulli da persone che affermavano di essere negli Stati Uniti o in altri paesi diversi dalla Corea del Nord. Le tecniche utilizzate sono piuttosto complesse.
Innanzitutto sono state create false identità (rubate o di prestanome), account email e profili sui social media (LinkedIn in particolare) usati per rispondere agli annunci di lavoro remoto. Il curriculum viene modificato per aumentare la probabilità di assunzione. In diversi casi è stata utilizzata l’intelligenza artificiale per scrivere meglio il curriculum, sostituire il volto di un’altra persona, creare documenti di identità falsi e cambiare la voce durante i colloqui evitando l’intermediazione dei facilitatori.
Questi ultimi si trovano negli Stati Uniti e forniscono assistenza per varie attività, tra cui creazione degli account bancari, acquisto di SIM card, trasferimento dello stipendio al lavoratore nordcoreano. Ricevono anche i notebook e altri dispositivi forniti dalle aziende, sui quali vengono installati i software che permettono l’accesso remoto dalla Corea del Nord.
Per nascondere la posizione fisica e mantenere la persistenza nella rete aziendale vengono utilizzati VPN, VPS, proxy server e tool RMM (Remote Monitoring and Management). Oltre al “regolare” stipendio, i cybercriminali ottengono profitti dal furto di criptovalute e di dati sensibili. Il denaro viene riciclato e inviato in Corea del Nord. Microsoft ha chiuso oltre 3.000 account Outlook/Hotmail.
