Google Cloud(谷歌雲端)昨(2)日發佈部落格文章指出,Google Cloud 的情報團隊與網路安全公司 Mandiant 合作,發現由北韓政府支援的 IT 工作者,利用虛假身份深入全球科技產業的範圍和規模正在擴大,並且策略更加複雜、目標更加廣泛。
(前情提要:全球網路普及率最低》北韓駭客Lazarus為何這麼強?屢破各大企業安全網,拉薩路成金正恩賺錢機器發展核武)
(背景補充:北韓駭客軍團拉撒路 Lazarus 的背後故事:如何用鍵盤犯下Web3最大搶案)
加密貨幣交易所 Bybit 在 2 月 21 日慘遭駭客攻擊,被盜走約 50 萬枚 ETH,價值近 15 億美元,成為加密貨幣歷史上最大的駭客盜竊案。而這起網路金融犯罪的背後兇手,正是臭名昭著的北韓駭客集團拉薩路(Lazarus Group)。而拉薩路,正是屬於由北韓政府直接培養的 IT 間諜與網路犯罪組織的一部分。
就在昨(2)日,Google Cloud(谷歌雲端)發佈部落格文章指出,Google Cloud 的情報團隊與網路安全公司 Mandiant 合作,發現由北韓政府支援的 IT 間諜,利用虛假身份深入全球科技產業的範圍和規模正在擴大,並且策略更加複雜、目標更加廣泛。
北韓 IT 間諜正在擴張
Google Cloud 在該文章中首先指出,北韓 IT 間諜在北韓情報機構(例如偵查總局 RGB)的授意和策劃下,通常會冒充來自其他國家的自由工作者和遠端工程師,滲透進入全球科技公司,這些人通常精通電腦與編碼技術,能夠勝任軟體開發、網路安全和資料分析等多種工作,最終目的是要獲取資金支援北韓的核武計劃。
在過去,這群人的活動主要集中在亞洲和北美的科技公司,不過最近的數據顯示,他們已經滲透進歐洲、中東和澳洲的企業當中,產業包括金融服務、醫療甚至娛樂業。其偽裝身份的手段也越來越多樣化,越來越隱蔽,具體包括:
- 多層身份偽造:他們使用多個虛假身份層級,包括偽造的 LinkedIn 檔案、GitHub 帳戶和專業證書,以建立可信度。這些身份通常與真實的社交媒體活動和專業互動相關聯,使其更難被識破。
- 利用中介公司:朝鮮 IT 間諜越來越多地透過第三方人力資源公司或承包商運作,這些公司通常位於東南亞或東歐,作為與最終客戶之間的緩衝層,進一步模糊其真實身份。
- 目標性滲透:除了尋求一般性 IT 工作,他們現在還針對特定公司進行滲透,特別是那些擁有敏感資料和技術的公司。這可能使他們能夠竊取關鍵技術成果或進行間諜活動。
- 加密貨幣與金融詐騙:一些朝鮮 IT 間諜還參與開發虛假的區塊鏈平台或加密貨幣應用程式,誘騙不知情的企業和個人投資,從而竊取資金。
對企業造成巨大威脅
Google Cloud 續指出,在這種擴張下,北韓 IT 間諜們正在對全球的企業造成重大威脅,包括:
- 財務損失:企業不僅會支付給這些人工資,還可能因遭到這些人的詐騙而損失資金。
- 資料外洩:敏感資訊可能被洩露給朝鮮政府。
- 法律與合規風險:無意中與受制裁實體合作可能使部分公司面臨罰款或聲譽受損。
- 潛在的定時炸彈:這些人可能會在受僱期間向公司系統植入病毒,並在未來讓其發揮作用。
給企業的建議
為了應對這一威脅,文章指出企業可以採取以下措施,以規避由此帶來的潛在風險:
- 加強身份驗證:對遠端員工和承包商進行更嚴格的背景調查,包括驗證其網路足跡和參考資料。
- 監控異常行為:使用威脅偵測工具來識別不尋常的網路活動,例如來自高風險地區的登入活動。
- 教育員工:提高人力資源和 IT 部門對此類威脅的認識。
- 與專家合作:與網路安全公司和政府機構合作,分享情報並獲得最新資訊。
📍相關報導📍
Bybit竊案》Elliptic:北韓駭客用混幣器洗錢下一步:支付商+OTC大規模凍結要來了
