假冒的朝鲜 IT 员工已扩展到欧洲

快速阅读: 《ITProPortal》消息，谷歌警告称，伪装成远程IT员工的朝鲜人员正扩大在欧洲的活动，通过多种平台寻找工作机会，并采用加密货币等方式支付。他们不仅涉及洗钱，还涉嫌窃取数据和勒索，调整策略以应对压力。企业需警惕BYOD政策风险并加强安全措施。

（图片来源：Getty Images）

谷歌发出警告称，近期一波伪装成远程IT工作人员的朝鲜人员已经扩散到欧洲地区。

近年来，来自朝鲜民主主义人民共和国（DPRK）的个人一直以远程IT员工的身份申请美国公司的职位。这些求职者声称自己位于世界各地，如意大利、日本、马来西亚、新加坡、乌克兰、美国和越南，并且具备令人印象深刻的专业资历和丰富经验。这些工人通常通过虚假招聘公司获得工作机会。

然而，他们实际上是一种为朝鲜政府洗钱的方式，许多人还涉嫌窃取专有数据，在企业系统中植入恶意软件，并从事勒索行为。

谷歌目前警告称，这些团体正在扩大其活动范围和策略，扩展勒索行动，并在企业的虚拟化基础设施内展开行动。他们还进一步扩大了其活动的地理范围。

“朝鲜IT工人在多个国家的活动如今使其成为全球性威胁。尽管美国仍是主要目标，但在过去几个月里，朝鲜IT工人在美国寻求和维持就业时遇到了挑战，”谷歌威胁情报小组（GTIG）首席顾问杰米·科尔利在一篇博客文章中表示。

“这可能是由于媒体报道、美国司法部的起诉以及工作权验证带来的挑战提升了对此威胁的认知。这些因素促使这些IT工人在全球范围内扩展业务，尤其是聚焦于欧洲。”

例如，去年年底，一名朝鲜IT工人在欧洲和美国至少扮演了12个角色，积极寻找欧洲多家机构的工作机会——特别是国防和政府部门的机构。

这些在欧洲的工人是通过各种在线平台招募的，包括Upwork、Telegram和Freelancer。支付方式主要是通过加密货币、TransferWise服务以及Payoneer管理。

英国也出现了相关案例，朝鲜IT工人参与了网页开发、机器人开发、内容管理系统（CMS）开发以及区块链技术等项目，展示了广泛的技术专业知识。

谷歌警告称，这些假工人也在调整其策略。自去年10月下旬以来，GTIG数据显示，他们一直在进行更多勒索尝试并针对更大的组织展开行动。

在这些事件中，最近被解雇的IT工人威胁要向竞争对手泄露前雇主的敏感信息，包括内部项目的专有数据和源代码。

“勒索活动的增加与美国执法部门对朝鲜IT工人的行动升级相吻合，包括干扰和起诉，”科尔利说。

“这表明可能存在一种联系，即对这些工人施加的压力可能迫使他们采取更激进的措施来维持收入来源。”

谷歌还警告组织要警惕自带设备（BYOD）政策，因为这些假工人正在瞄准这些政策，它们可能缺乏传统的安全和日志工具。

这些建议是在FBI的建议之上提出的。

根据FBI的说法，组织应保持一般的安全性，遵循最小权限原则，并监控和调查异常网络流量。在招聘方面，他们应在任何远程员工的面试、入职和雇佣过程中使用严格的身份验证流程。他们应留意其他拥有相同简历内容和/或联系方式的应聘者，并在视频面试中密切注意AI和人脸交换技术的应用。

“全球扩张、勒索策略和虚拟化基础设施的使用都凸显了朝鲜IT工人所运用的灵活策略，”科尔利说。

“为了应对美国对该威胁认知度的提升，他们构建了一个全球性的欺诈身份生态系统以提升操作灵活性。再加上在英国发现的支持者，这表明快速形成了一个全球基础设施和支持网络，支持他们的持续运作。”

艾玛·伍拉科特
社交链接导航

艾玛·伍拉科特是一名自由撰稿人，为包括BBC、Private Eye、Forbes、Raconteur和专业科技出版物在内的媒体撰写文章。

(以上内容均由Ai生成)