微软
长期遭到联合国与美国制裁的北韩,积极利用各种手段创造外汇收入。除了透过国家级骇客进行网路攻击筹资外,北韩政府也派遣具备IT专长的国民,伪装成远端工作者渗透各国企业,为政权赚取外汇。微软将此一现象称为Jasper Sleet活动,并于本周一(6/30)揭露北韩IT工作者不断演进的渗透策略,包括运用AI技术以提高渗透成功率。
北韩IT人员大多有两种任务,一种是替北韩政府赚取外汇,二是借机渗透至国外企业并窃取机密资讯或技术资产。
这些位于北韩的IT人员通常有深厚的技术背景,他们创立虚假的身分档案,也会在LinkedIn及GitHub建立专业档案,主动投递求职申请;在面试时,他们会透过VPN伪装IP位置,透过变声软体改变声音,并谎称技术问题以关闭摄影机;若被录取,有许多时候就需要由美国的「协助者」来提供居住地址,接收公司寄送的工作笔电,提供银行帐户,购买当地电话号码,同时设置笔电农场(Laptop Farm)及远端连线。
工作时就由北韩IT工作者远端连接至美国境内的笔电进行操作,以完成专案任务及日常职责,也能透过公司的通讯系统与同事互动。此外,他们主要藏身于北韩、中国及俄罗斯,在这3个据点工作。
微软指出,北韩的IT工作者申请了全球企业的远端工具,但以美国职缺最为热门,自2020年到2022年间,至少有超过300家美国企业受害,其中有数家名列财星500强(Fortune 500),还有两家美国政府机构也被渗透。
而美国司法部也在同一天宣布打击Jasper Sleet活动的相关行动,包括在16个州没收了29个金融帐户,21个诈欺网站,以及200台电脑。
司法部指出,北韩IT工作者的行为得到了来自美国、中国、阿拉伯联合大公国及台湾人的协助,在2021年到2024年10月间,利用逾80名美国人的身分以协助这些北韩人于超过100家美国公司获得远端工作,其中有一名任职于亚特兰大区块链公司的北韩员工,趁机盗走了价值90万美元的加密货币。
还有两名北韩IT工作者在2018到2024年间,成功渗透了至少64家美国企业,且光是从其中10家就赚进了约87万美元。
另一方面,微软也发现这些北韩IT工作者亦开始利用AI技术来强化渗透,例如使用AI工具来替换被盗身分文件中的照片;或是改善IT工作者的照片,让他们看起来更专业;也会使用变声软体来改变声音;或是借由AI变脸工具Faceswap来伪造身分。
微软提供了Jasper Sleet活动的防御策略,包括确认员工具备真实的数位足迹,确保在多次视讯通话中看到候选人,要求公证的身分证明,也应监控可疑的IP位址切换,检查未经授权的远端桌面软体(RMM)安装,监控公共VPN的使用,以及识别在非正常工作时间的活动等。
事实上,微软已经暂停了3,000个已知的北韩IT工作者的帐户,包括Outlook与Hotmail,也特别为此开发了客制化的机器学习解决方案,并透过Microsoft Defender XDR整合式资安平台来侦测可疑的活动。