Σύνοψη
- Δίκτυα συνδεδεμένα με την Πιονγκγιάνγκ διεισδύουν σε ευρωπαϊκές εταιρείες τεχνολογίας, αναλαμβάνοντας νόμιμες θέσεις remote εργασίας.
- Οι επιτιθέμενοι χρησιμοποιούν κλεμμένα ή ενοικιαζόμενα προφίλ στο LinkedIn, μαζί με πλαστές ταυτότητες, για να ξεγελάσουν τις διαδικασίες ελέγχου.
- Στις ΗΠΑ, το φαινόμενο έπληξε πάνω από 300 επιχειρήσεις από το 2020 έως το 2024, αποφέροντας τουλάχιστον 6,8 εκατομμύρια δολάρια στο καθεστώς.
- Νέα δεδομένα δείχνουν επέκταση της δράσης τους σε Ηνωμένο Βασίλειο, Γερμανία και Πορτογαλία, θέτοντας σε εγρήγορση την ευρωπαϊκή και ελληνική αγορά.
- Ο κίνδυνος υπερβαίνει την καταβολή μισθών, καθώς οι πλαστοί υπάλληλοι προχωρούν σε κλοπή πνευματικής ιδιοκτησίας και εγκατάσταση κακόβουλου λογισμικού (malware).
Πώς Βορειοκορεάτες hackers προσλαμβάνονται σε ευρωπαϊκές εταιρείες
Βορειοκορεάτες προγραμματιστές χρησιμοποιούν κλεμμένες ταυτότητες και ενοικιασμένους λογαριασμούς LinkedIn για να προσληφθούν σε θέσεις απομακρυσμένης εργασίας στην Ευρώπη. Στόχος τους είναι η συγκέντρωση κεφαλαίων για το καθεστώς της Πιονγκγιάνγκ μέσω της είσπραξης παχυλών μισθών, ενώ ταυτόχρονα αποκτούν άμεση, εσωτερική πρόσβαση σε ευαίσθητα εταιρικά δεδομένα και κρίσιμα συστήματα πληροφορικής.
Η διαδικασία πρόσληψης έχει μετατραπεί σε έναν από τους πιο αθόρυβους φορείς κυβερνοεπιθέσεων. Σύμφωνα με αναφορά των Financial Times, η πρακτική αυτή δεν αποτελεί θεωρητική απειλή, αλλά μια εξαιρετικά επικερδή επιχείρηση που λειτουργεί με βιομηχανικούς ρυθμούς. Μια ευρωπαϊκή εταιρεία αναρτά αγγελία για θέση Senior Software Engineer σε καθεστώς τηλεργασίας. Ο υποψήφιος που ξεχωρίζει έχει άψογο βιογραφικό, περνάει με άνεση τα τεχνικά tests και οι συνεντεύξεις κυλούν ομαλά. Η πρόσληψη ολοκληρώνεται, τα εταιρικά accounts δημιουργούνται, αλλά ο εργαζόμενος δεν είναι αυτός που ισχυρίζεται.
Τα βασικά δεδομένα της απάτης
- Έκταση στις ΗΠΑ: Βάσει εγγράφων του Υπουργείου Δικαιοσύνης των ΗΠΑ, πάνω από 300 αμερικανικές εταιρείες έπεσαν θύματα μεταξύ 2020 και 2024.
- Οικονομικό αποτύπωμα: Επιβεβαιωμένα έσοδα τουλάχιστον 6,8 εκατομμυρίων δολαρίων, τα οποία διοχετεύονται στο οπλοστάσιο της Βόρειας Κορέας.
- Ευρωπαϊκή επέκταση: Η ομάδα Google Threat Intelligence Group (GTIG) και άλλοι αναλυτές επιβεβαιώνουν αυξανόμενα κρούσματα σε Μεγάλη Βρετανία, Γερμανία και Πορτογαλία εντός του 2025 και αρχές του 2026.
- Διπλή απειλή: Πέρα από τον οικονομικό αντίκτυπο των μισθών (συχνά άνω των 80.000€ ετησίως), οι υπάλληλοι αυτοί εξάγουν πηγαίο κώδικα (source code) ή αφήνουν κερκόπορτες (backdoors) στα δίκτυα.
Η τεχνική μεθοδολογία: Από το ψεύτικο προφίλ στο εταιρικό δίκτυο
Η επιτυχία της συγκεκριμένης στρατηγικής βασίζεται στην άριστη γνώση των δυτικών εταιρικών διαδικασιών και στην παράκαμψη των συστημάτων επαλήθευσης (KYC/Background checks). Οι Βορειοκορεάτες IT specialists δεν δρουν μεμονωμένα, αλλά υποστηρίζονται από ένα εκτεταμένο δίκτυο "διευκολυντών".
Το πρώτο βήμα είναι η ψηφιακή ταυτότητα. Αντί να δημιουργήσουν λογαριασμούς από το μηδέν (κάτι που θα κινούσε υποψίες στους αλγόριθμους των HR πλατφορμών), προσεγγίζουν ανενεργούς αλλά υπαρκτούς χρήστες του LinkedIn. Προσφέρουν μηνιαία αμοιβή σε πραγματικούς επαγγελματίες για να "νοικιάσουν" το προφίλ τους. Έτσι, το ψηφιακό αποτύπωμα φαίνεται απόλυτα φυσιολογικό στους recruiters. Στη συνέχεια, πλαστογραφούν έγγραφα ταυτοπροσωπίας, διαβατήρια και αποδεικτικά διεύθυνσης, χρησιμοποιώντας συχνά εργαλεία Τεχνητής Νοημοσύνης (Generative AI) για την αλλοίωση φωτογραφιών ή φωνής (deepfakes) κατά τη διάρκεια των βιντεοκλήσεων.
Το τεχνικό σκέλος της συγκάλυψης περιλαμβάνει τη χρήση "Laptop Farms". Ένας τοπικός συνεργάτης (π.χ., στη Γερμανία ή στις ΗΠΑ) στήνει στο σπίτι του πολλαπλούς φορητούς υπολογιστές, συνδεδεμένους στο οικιακό του δίκτυο. Ο εταιρικός εξοπλισμός της εταιρείας που προσλαμβάνει αποστέλλεται σε αυτή τη διεύθυνση. Ο Βορειοκορεάτης προγραμματιστής, ο οποίος φυσικά βρίσκεται στην Ασία, συνδέεται απομακρυσμένα (μέσω RDP/VNC και VPNs) στο laptop που βρίσκεται στην Ευρώπη. Επομένως, το τμήμα ΙΤ της ευρωπαϊκής εταιρείας βλέπει συνδέσεις να προέρχονται από φυσιολογικές, τοπικές IP διευθύνσεις, παρακάμπτοντας τα φίλτρα γεωγραφικού αποκλεισμού (geo-blocking). Συχνά, ένας ικανότατος προγραμματιστής αναλαμβάνει τις τεχνικές συνεντεύξεις, ενώ ένας άλλος χειρίζεται την καθημερινή συγγραφή κώδικα, καταφέρνοντας να δουλεύει σε τρεις ή τέσσερις διαφορετικές εταιρείες ταυτόχρονα.
Πρακτικά μέτρα προστασίας για τμήματα HR και IT
Για την αποτροπή τέτοιων περιστατικών, οι διαδικασίες πρόσληψης οφείλουν να αναβαθμιστούν άμεσα με αυστηρότερα πρωτόκολλα:
- Αυστηρή Βιομετρική Ταυτοποίηση: Η χρήση εργαλείων πιστοποίησης ταυτότητας που απαιτούν ζωντανή λήψη του προσώπου και αντιστοίχιση με το κρατικό έγγραφο, κατά το πρότυπο των τραπεζικών εφαρμογών (eKYC).
- Έλεγχος των IP Address και του Εξοπλισμού: Ενεργοποίηση αυστηρών πολιτικών Zero Trust. Τα τμήματα ΙΤ πρέπει να ελέγχουν εάν ο εταιρικός εξοπλισμός εμφανίζει σημάδια απομακρυσμένης διαχείρισης (π.χ., AnyDesk, TeamViewer που δεν έχουν εγκατασταθεί από την ίδια την εταιρεία).
- Συνεντεύξεις "Λευκού Πίνακα": Οι τεχνικές αξιολογήσεις πρέπει να γίνονται ζωντανά, με κάμερα στραμμένη στα χέρια και στο πληκτρολόγιο του υποψηφίου, ώστε να αποκλείεται η υπαγόρευση ή η εκτέλεση της δοκιμασίας από τρίτο πρόσωπο.
- Παρακολούθηση Μισθοδοσίας: Προσοχή σε αιτήματα αλλαγής τραπεζικού λογαριασμού λίγο μετά την πρόσληψη ή στη χρήση εξωτικών υπηρεσιών εμβασμάτων κρυπτονομισμάτων αντί παραδοσιακών τραπεζικών λογαριασμών IBAN που αντιστοιχούν στο όνομα του υπαλλήλου.
Με τη ματιά του Techgear
Το να ανακαλύψει ένας HR manager ότι ο "συνεργάσιμος" remote developer που προσέλαβε πριν τέσσερις μήνες είναι στην πραγματικότητα ενεργό μέλος κρατικής υπηρεσίας πληροφοριών της Βόρειας Κορέας, αποτελεί τον απόλυτο εφιάλτη. Στις συνεντεύξεις, ο ανθρώπινος παράγοντας ξεγελιέται εύκολα: ένα μικρό "lag" στον ήχο κατά τη διάρκεια του Zoom call αποδίδεται συνήθως σε κακή σύνδεση Wi-Fi, όχι στη δαιδαλώδη δρομολόγηση ενός VPN από την Πιονγκγιάνγκ, μέσω Κίνας, σε ένα laptop farm στο Βερολίνο.
Αυτό που παρατηρούμε είναι η εξέλιξη του κυβερνοεγκλήματος από τις καθαρά επιθετικές μεθόδους (phishing, ransomware) στην εκμετάλλευση της εταιρικής κουλτούρας (social engineering στο επίπεδο του HR). Όταν μια επιχείρηση αποστέλλει ένα σφραγισμένο MacBook σε έναν νέο υπάλληλο, πρακτικά παραδίδει τα κλειδιά της ασφάλειάς της. Για τις ελληνικές και ευρωπαϊκές εταιρείες που επενδύουν στο remote work, η εμπιστοσύνη οφείλει πλέον να είναι προϊόν μαθηματικής και τεχνικής επαλήθευσης, όχι επαγγελματικής ευγένειας.
