Incidentes Asociados
¿Le preocupa al RSAC que un nuevo recluta sea un secuaz norcoreano que busca robar propiedad intelectual y luego atacar una organización con malware? Hay una respuesta, al menos por ahora.
Según Adam Meyers, vicepresidente senior de CrowdStrike en la división de contraataque, los infiltrados norcoreanos se están haciendo con puestos en todo el mundo durante todo el año. Se dice que miles se han infiltrado en las empresas de la lista Fortune 500.
Están ocultando IP, exportando granjas de portátiles a Estados Unidos para poder conectarse a esas máquinas y aparentar que trabajan desde allí, y están usando IA. Sin embargo, hay una pregunta durante las entrevistas de trabajo que siempre los delata y los obliga a abandonar el proceso de selección.
"Mi pregunta favorita en las entrevistas, porque hemos entrevistado a bastantes de estas personas, es algo como '¿Cuánto peso tiene Kim Jong Un?'. Terminan la llamada al instante, porque no vale la pena decir nada negativo al respecto", declaró [https://path.rsaconference.com/flow/rsac/us25/FullAgenda/page/catalog/session/1728070288065001o6bO] en una mesa redonda de la Conferencia RSA en San Francisco el lunes.
Meyers explicó que los norcoreanos utilizarán IA generativa para desarrollar lotes masivos de perfiles y solicitudes de LinkedIn para trabajos remotos que resulten atractivos para las empresas occidentales. Durante una entrevista, varios equipos trabajarán en los desafíos técnicos, mientras que el "presentador" se encargará de la parte presencial, aunque a veces con cierta torpeza. "Una de las cosas que hemos notado es que, en Polonia, una persona se postula con un nombre muy complicado", relató, "y luego, cuando lo contactan por Zoom, resulta ser un hombre asiático en edad militar que no sabe pronunciarlo". Pero funciona lo suficiente como para que muchos consigan el trabajo y millones de dólares se canalicen de vuelta a Corea del Norte por esta vía.
Una vez ubicados en el codiciado puesto, estos trabajadores suelen tener mucho éxito en la empresa, ya que tienen a varias personas trabajando en una sola tarea para producir el mejor trabajo posible, con la esperanza de obtener un ascenso y más acceso a los sistemas de la empresa", explicó la agente especial del FBI Elizabeth Pelker, panelista.
"Creo que la mayoría de las veces, me dicen: 'Ah, pero Johnny es nuestro mejor empleado. ¿De verdad necesitamos despedirlo?'", dijo.
Los objetivos de estos trabajadores fraudulentos (https://cloud.google.com/blog/topics/threat-intelligence/dprk-it-workers-expanding-scope-scale) son dos, explicó. En primer lugar, ganan un salario y usan su acceso para robar propiedad intelectual de la víctima. Esta información suele filtrarse en pequeñas cantidades para no activar los sistemas de seguridad.
Una estrategia de mitigación, explicó, era insistir en que cualquier entrevistado realizara pruebas de codificación dentro del entorno corporativo. Esto permite verificar la IP real utilizada, ver con qué frecuencia cambia de pantalla el candidato y revelar otras pistas que indican que no todo es lo que parece.
Sin embargo, si se descubre y se despide al intruso, generalmente ya habrá recopilado los datos de inicio de sesión, instalado malware no activado e intentará extorsionar a la víctima al máximo. Instó a cualquiera que detecte a un empleado falso a que se ponga en contacto con su oficina local del FBI de inmediato. ### La carrera de la Reina Roja
Pero los atacantes se están volviendo más astutos, y en cierto modo el FBI es víctima de su propio éxito.
La agencia ha estado distribuyendo consejos a empresas estadounidenses, pero estos memorandos también se leen en Pyongyang y los trabajadores están adaptando sus tácticas. Esto a veces implica usar cómplices tanto conscientes como inconscientes.
Por ejemplo, para sortear el problema de las direcciones IP, están proliferando granjas de portátiles por todo Estados Unidos. Si un solicitante consigue un trabajo, la empresa suele enviarle un portátil, y el entrevistado explica que se ha mudado o tiene una emergencia familiar, así que, por favor, ¿podrían enviarlo a una nueva dirección?
Lo más probable es que se trate de una granja de portátiles, donde alguien en EE. UU. acepta operar el portátil desde una dirección legítima por una tarifa, que suele rondar los 200 dólares por ordenador, según Meyers. El año pasado, el FBI desmanteló una operación similar en Nashville, Tennessee, y acusó al operador de conspiración para dañar computadoras protegidas, conspiración para blanquear instrumentos monetarios, conspiración para cometer fraude electrónico, daño intencional a computadoras protegidas, robo de identidad agravado y conspiración para provocar el empleo ilegal de extranjeros.
En lugar de crear identidades, los trabajadores norcoreanos ahora se dedican a robar las que desean o a engañar a personas para que las entreguen por una buena causa. En Ucrania, existe un creciente negocio de convencer a personas para que compartan su identidad con terceros con el pretexto de usarlas contra agentes chinos que apoyan a Rusia.
"Desafortunadamente, dado que esto apoya a los norcoreanos, el dinero regresa para filtrarse al régimen norcoreano", declaró Chris Horne, director sénior del portal de empleo Upwork. "Luego, a su vez, se destina a apoyar a las tropas que regresan a través de Rusia. Así que, básicamente, están pagando su propia caída en Ucrania".
También hemos visto entrevistas de trabajo ultrafalsas que son suficientemente buenas para engañar a los profesionales de TI, a veces más de una vez. Esta tecnología está mejorando y se volverá cada vez más convincente, advirtió Pelker.
La clave para solucionar esto, coincidieron los panelistas, es educar a todos en el proceso de entrevista, incluso al empleado de menor rango, y estar muy atentos a las señales de advertencia. Si es posible, dijeron, se debería pedir a alguien local que se presente para una reunión personal, y quizás también evitar contratar empleados que trabajen completamente a distancia. ®
Nota del editor: Este artículo se actualizó para indicar correctamente la empresa donde trabaja Chris Horne, Upwork en lugar de Upworthy. Lamentamos el error.