A Mandiant fenyegetésinformációs és incidenskezelési szakemberei számos olyan szervezettel vették fel a kapcsolatot, akik már találkoztak “vakonddal”. Ezek azok az észak-koreai informatikai “szakemberek“, akik álláskeresőnek adják ki magukat az USA-ban.
A The Register beszámolója szerint a kormányzati megbízást teljesítő észak-koreai vakondok jellemzően Kínában és Oroszországban állomásoznak. Jól fizető állásban vannak, fizetésüket Kim Dzsong Un hadseregének támogatására küldik haza. Emellett azonban megpróbálnak hosszú távú hozzáférést is biztosítani a munkaadók hálózataihoz és rendszereihez.
A konzultációk során a munkáltatók számos tippet kaptak, amelyeket a következő állásinterjúkon figyelembe kell venniük. Például egy ismert észak-koreai ügynök önéletrajzának elemzése kimutatta, hogy egy egyszerű netes kereséssel már más névvel feltöltött profilokat mutatott. A keresések során a kulcs a közös adatpontok voltak.
A pályázók által megadott e-mail címek ellenőrzése például jó módszer az ilyen jellegű összekapcsolt fiókok kiszűrésére. Ha ezek olyan profilokhoz vezetnek, amelyek a pályázatban megadottól eltérő nevet viselnek, az azt jelentheti, hogy a pályázó több különböző vállalatnál több szerepre is pályázik.
Széles körben ismert, hogy egyes – nem csupán észak-koreai – távmunkások azzal ügyeskednek az IT ágazatban, hogy egy időben több vállalatnak is dolgoznak.
Ez a trükk különösen kedvelt a phenjani ügynökök körében, és főként az amerikai munkaerőpiacon, így a többszörös személyazonosságra utaló jeleket a munkáltatóknak nagyon komolyan kell venniük.
A munkáltatók számára ajánlott egyéb intézkedések közé tartozik az átfogó háttérellenőrzés kötelezővé tétele. Az olyan dolgok, mint a biometrikus személyazonosság-ellenőrzés és a személyazonosság közjegyző által hitelesített igazolása, nagyban hozzájárulnak a csaló munkakeresők azonosításához. De még az elrettentésükhöz is.
A humánerőforrás-osztályokat arra is ki kellene képezni, hogyan lehet kiszűrni az észak-koreai csaló pályázók közös jellemzőit, beleértve azt is, hogyan lehet felismerni, hogy az MI-t használták-e a beküldött képeik megváltoztatására.
Az a gyanús, ami nem gyanús
A Mandiant megjegyezte, hogy az általa értékelt önéletrajzok közül sokan olyan manipulált profilképekkel voltak kitöltve, amelyeket valószínűleg nyilvános LinkedIn-profilokról loptak.
Persze az ügynökök azonosítása nem csupán a felvételi szakaszban lehetséges. Árulkodó jel lehet például a gyenge munkateljesítmény.
Az USA-ban már korábban kiadott különböző figyelmeztetésekből és büntetőügyekből úgy tudni, ahhoz, hogy egy amerikai munkát Kínából vagy Oroszországból végezzen, a munkavállalónak hozzáférésre van szüksége egy amerikai számítógéphez. Ezt a hozzáférést általában egy PC-farm biztosítja.
Ha felmerül a gyanú, hogy a munkavállaló valamelyik ilyen farmot használja, a gyanú alátámasztására további bizonyítékot szolgáltathat az adott eszköz hálózati forgalmának megfigyelése.
A Mandiant által javasolt másik intézkedés a hardveralapú MFA protokollok alkalmazása, amelyek arra kényszerítik a munkavállalókat, hogy a vállalat által kiadott eszközzel lépjenek fel az internetre.
(kép: Dall-E)