Los crecientes daños de la fuerza laboral remota de TI en Corea del Norte – The Diplomat
Corea del Norte ha colocado silenciosamente a miles de profesionales de tecnología de la información (TI) en contratistas y subcontratistas que prestan servicios a las empresas más grandes y rentables de Estados Unidos. Estos trabajadores operan bajo Americano o identidades falsas de terceros países. El principal objetivo de este ejército de TI es ganar dinero para el régimen de Kim Jong Un, perpetuamente falto de liquidez. Estos fondos apoyan los programas nucleares y de misiles balísticos de Corea del Norte y apuntalan la dictadura de Kim.
Además, las armas norcoreanas están llegando a conflictos en todo el mundo. Rusia ha comenzado a utilizar Misiles norcoreanos atacarán dentro de Ucrania y las municiones norcoreanas han sido utilizado por Hamás en ataques contra las fuerzas israelíes en Gaza. Todo esto es posible gracias a los fondos que fluyen de los trabajadores de TI a las arcas del gobierno de Corea del Norte.
Además, el acceso que estos infiltrados norcoreanos han obtenido dentro de las empresas estadounidenses proporciona al régimen de Kim múltiples vectores para el robo de propiedad intelectual (PI), la retención de datos estadounidenses como rehenes para pedir rescate, los ataques a infraestructuras críticas y el lanzamiento de ataques cibernéticos. . Por lo tanto, las empresas estadounidenses, sin saberlo, están financiando a un estado enemigo dedicado a su propia degradación y destrucción.
El peligro
Desde al menos 2015, Corea del Norte ha aprovechó el uso de trabajadores de TI remotos a conseguir empleo en empresas de todo el mundo. El objetivo principal de este ejército de profesionales de TI es generar ingresos que eludan las sanciones internacionales. Este es un problema grande y sistémico, ya que la subcontratación del desarrollo de TI y software es un mercado enorme, que se espera que aumente. superar los 500 mil millones de dólares en 2024. Casi dos tercios de las empresas estadounidenses subcontratar al menos algunas de sus necesidades de ingeniería de software y TI.
El peligro va más allá de las meras remesas a un dictador. La tecnología de la información es sólo una de muchas maneras Kim Jong Un financia su régimen. ESO, sin embargo, es especial. Un trabajador de TI remoto de Corea del Norte tiene acceso a las redes de la empresa, lo que significa acceso a propiedad intelectual, archivos de datos, producción, herramientas internas, planes, procesos y personal. El objetivo de los infiltrados norcoreanos es permanecer sin ser descubiertos; pero si lo son, ya tienen en sus manos sistemas críticos.
Una fuente de la industria informó que los norcoreanos que habían sido descubiertos y despedidos respondieron con extorsión. Los trabajadores despedidos habían mantenido el acceso a códigos o sistemas de alto valor que la empresa no podía perder. Esta es una forma de ataque de ransomware poco discutida.
Además, investigaciones recientes realizadas por el equipo de inteligencia de amenazas de la Unidad 42 de Palo Alto descubrieron evidencia que los tradicionales grupos de actores de espionaje e intrusión de Corea del Norte ahora pueden estar cooperando. ¿Qué quiere decir esto? Imagina un Tipo atraco a Lázaro robo o hackear sony habilitado por personas internas maliciosas que operan como trabajadores de TI dentro de las principales empresas estadounidenses.
Finalmente, las empresas estadounidenses que contratan a estos trabajadores enfrentan responsabilidad por evadir sanciones. Es cierto que la mayoría de las empresas estadounidenses emplean el soporte informático norcoreano sin darse cuenta. Sin embargo, ésta no es una afirmación que el gobierno de Estados Unidos pueda aceptar al pie de la letra. Entrar en conflicto con las sanciones estadounidenses e internacionales contra Corea del Norte puede introducir una gama de responsabilidadesincluso con la Oficina de Control de Activos Extranjeros del Departamento del Tesoro, así como con otras autoridades reguladoras y policiales nacionales e internacionales.
El alcance
Dada la naturaleza encubierta de esta operación, es imposible determinar el número exacto de profesionales de TI norcoreanos que operan dentro de los sistemas estadounidenses. Sin embargo, entrevistas con un supuesto trabajador norcoreano sugirió que más de 4.000 trabajadores norcoreanos de TI y software están desplegados en todo el mundo. El estimado por el FBI que cada uno de estos trabajadores puede generar hasta 300.000 dólares al año, y los equipos en conjunto superan los 3 millones de dólares cada año.
Ahora que Corea del Norte tiene reabierto tras la pandemia de COVID-19Parece lógico que el régimen envíe trabajadores adicionales al extranjero, dados los éxitos anteriores.
Una fuente de la industria con conocimiento de la amenaza afirma que el número de profesionales de TI de Corea del Norte desplegados probablemente esté entre 8.000 y 12.000. Y si bien muchos de estos trabajadores comenzaron sus operaciones originalmente en Rusia y China, también han sido identificados en el Sudeste Asiático, África y Medio Oriente. La fuente de la industria indicó que los esfuerzos para descubrir a estos trabajadores dentro de empresas estadounidenses los han encontrado operando en la infraestructura de Internet en estos lugares.
La dificultad de la detección
El riesgo de contratar trabajadores informáticos remotos norcoreanos no es algo que la mayoría de las empresas consideren a la hora de tomar decisiones. Las prácticas de contratación y diligencia debida corporativas nunca se crearon para detectar un Estado-nación que utiliza toda la gama de recursos gubernamentales con el único propósito de colocar empleados en empresas privadas extranjeras.
Aunque muchas grandes corporaciones estadounidenses han creado programas de amenazas internas diseñados para detectar y mitigar actividades tanto negligentes como maliciosas, la eficacia de esos programas varía ampliamente. Más importante aún, pocos programas corporativos contra amenazas internas llegan tan lejos como para aplicar sus procesos de selección a los empleados contratados. Muchas empresas ni siquiera conocen las identidades o ciudadanía de los empleados contratados a distancia, especialmente si esos trabajadores están en el extranjero. Finalmente, una vez contratados para un proyecto, los norcoreanos se esfuerzan por evitar cualquier actividad que atraiga la atención de equipos de amenazas internas.
Algunas tácticas y técnicas de Corea del Norte
El primer desafío que enfrentan los infiltrados es el proceso de contratación. Necesitan poner un pie en la puerta. El FBI dos avisos sobre el tema nos brindan información básica sobre cómo se logra esto, pero fuentes de la industria nos dicen que los norcoreanos a menudo buscan empleo en empresas de TI por contrato. El número de estas empresas ha crecido dramáticamente desde la pandemia de COVID-19, y es posible que no tengan procesos de selección tan rigurosos como las corporaciones más grandes. Alternativamente, los norcoreanos buscan trabajo independiente en TI en las principales plataformas laborales.
Estos trabajadores operan con nombres falsos utilizando una variedad de documentos de identidad robados, falsificados o fabricados de países de todo el mundo, incluido Estados Unidos. A menudo utilizan una combinación de VPN, IP alojadas ruidosas y servidores proxy residenciales para enmascarar sus ubicaciones reales, además de elaborar complejos programas logísticos y de programación para garantizar que estén presentes para llamadas y reuniones remotas en zonas horarias occidentales.
Los trabajadores norcoreanos dependen hasta cierto punto de las plataformas de pago en criptomonedas y moneda digital para realizar pagos, evitando así las herramientas tradicionales de detección de fraude de la industria financiera.
Recientemente, se sospecha que los norcoreanos utilizan herramientas de inteligencia artificial generativa como ChatGPT para crear contenido en inglés más realista y comprensible, así como para desarrollar documentos de verificación de identidad que pasan por muchas herramientas antifraude.
La adaptación y evolución de la amenaza
Fuentes de la industria sostienen que el arte comercial y la perspicacia tecnológica de Corea del Norte están madurando. Corea del Norte todavía envía trabajadores manuales en el extranjero, especialmente a Rusia y China, pero también ha ampliado el repertorio de habilidades de sus trabajadores. Los primeros empleados de TI de Corea del Norte no eran muy buenos en comparación con sus colegas de otros países. Esto ha cambiado. Hoy en día, los trabajadores de TI de Corea del Norte aprenden lenguajes de codificación bajo demanda, incluido el conocimiento de productos de inteligencia artificial y aprendizaje automático de vanguardia, para conseguir empleo en empresas destacadas que utilizan las tecnologías más avanzadas.
Algunos trabajadores de TI despedidos por empleadores subcontratados eran considerados excelentes codificadores que entregaban productos de trabajo superiores. Fuentes de la industria plantean que algunas empresas pueden estar dispuestas a pasar por alto el contrato de trabajo de un norcoreano si su producción contribuyó significativamente a las operaciones comerciales.
Además, los profesionales de TI de Corea del Norte han descubierto nuevas formas de ocultar sus identidades. Estos trabajadores frecuentemente contratan a ciudadanos occidentales para que se hagan pasar por ellos durante entrevistas de trabajo o reuniones de equipo, e incluso operan sus personajes falsos en línea utilizando la infraestructura de Internet de EE. UU., todo para evitar ser detectados por equipos de ciberseguridad y amenazas internas.
Algunos trabajadores de TI de Corea del Norte han establecido negocios legítimos en países extranjeros, han contratado a ciudadanos locales y han operado como empresas remotas de personal de TI. Estas empresas nunca tocan empresas estadounidenses u occidentales y se centran exclusivamente en generar ingresos a partir de operaciones dentro de esos países.
Otros norcoreanos emprendedores han pagado a estudiantes universitarios en países occidentales para que les permitan usar una computadora portátil en sus dormitorios o máquinas virtuales en sus computadoras portátiles escolares, todo para eludir los controles de seguridad implementados para detectar actividad maliciosa en la red fuera de Estados Unidos.
Los norcoreanos pueden conseguir trabajo en una capacidad remota de TI debido a la naturaleza virtual de gran parte del trabajo de ingeniería. Trabajar desde lugares oscuros, variados y muy dispersos no es inusual en esta industria y, por lo tanto, a menudo no genera alarmas. Sin embargo, muchas empresas exigen que todos los empleados, incluso los contratistas, utilicen dispositivos corporativos para que los clientes corporativos puedan mantener el control sobre sus puntos finales. En estos casos, los norcoreanos deben obtener dispositivos corporativos. Lo hacen por correo o entrega comercial.
Los departamentos de TI y los proveedores de TI externos envían habitualmente dispositivos a direcciones personales proporcionadas por la adquisición de talento. En algunos casos, esas ubicaciones deben coincidir con la supuesta ubicación del empleado. Obviamente, el noroeste de China, Rusia y el sudeste asiático no serán suficientes en estas situaciones. Para resolver este problema, Corea del Norte depende de servidores proxy para recibir estos dispositivos en algún lugar de Estados Unidos.
Un problema aún más difícil es el pago. Muchos empleadores exigen cuentas bancarias en Estados Unidos para pagar los salarios. No está claro cómo Corea del Norte evade las rigurosas normas del sector bancario. Conozca a su cliente regulaciones. Una posibilidad son los documentos falsificados de alta calidad. Otro es nuevamente el uso de poderes para recibir pagos a cambio de una tarifa.
Mitigaciones
La amenaza de los trabajadores de TI de Corea del Norte plantea un riesgo único para las empresas estadounidenses en Europa, Japón, Corea del Sur, Australia, Nueva Zelanda y otras partes del mundo democrático desarrollado. Pyongyang ha aprovechado un momento único en la evolución del modelo de negocio de los servicios de TI para atacar a un objetivo que no está preparado para defenderse.
Pocas empresas privadas son siquiera conscientes de la amenaza, y mucho menos están constituidas para abordarla de manera efectiva. Aquellos que lo hagan deberán dominar la ciberdefensa, las amenazas internas, la selección de empleados, la geopolítica y una combinación de regulaciones legales y de privacidad de los empleados.
Pero la amenaza puede mitigarse. El desarrollo y la maduración de prácticas de seguridad fundamentales diseñadas para proteger a las empresas de los riesgos tradicionales es el lugar para comenzar. Las inversiones específicas en las siguientes áreas pueden aumentar los costos de entrada y operación para los trabajadores norcoreanos y, en última instancia, sacarlos del negocio:
- diseñar, implementar y auditar periódicamente los procesos de verificación de identidad y contratación de empleados;
- capacitar a la adquisición de talento y a los recursos humanos sobre la amenaza y garantizar que emplear prácticas de verificación eliminar actores maliciosos;
- garantizar que el personal de ciberseguridad y defensa de la red de TI esté capacitado sobre la amenaza y posea las herramientas de monitoreo necesarias para detectar actividades anómalas que indiquen un riesgo potencial;
- permitir a los profesionales de la ciberseguridad intercambiar inteligencia sobre amenazas aprobada con sus pares y a través de organizaciones multilaterales como IT-ISAC;
- empoderar a los equipos de amenazas internas para que realicen revisiones periódicas de la fuerza laboral contratada para detectar posibles compromisos; y
- instruir a los equipos de ciberseguridad y amenazas internas para que examinen avisos gubernamentales sobre la amenaza norcoreana, para garantizar que tengan la información más actualizada para realizar investigaciones.
Implicaciones geopolíticas
Corea del Norte existe hoy sólo gracias al apoyo que recibe de China. Beijing es consciente del ejército informático de Corea del Norte y le permite continuar. Además, es probable que Beijing utilice a los miles de trabajadores de TI desplegados en una crisis si eso sirviera a los intereses nacionales de China. Los Estados Unidos ya sufre robo masivo de tecnología y propiedad intelectual de China; La fuerza laboral de TI de Corea del Norte representa otra arma potencial.
Lo más inminente para Estados Unidos y otras empresas occidentales es que el apoyo de China a Corea del Norte y su programa de trabajadores de TI en particular significa que no es posible ninguna solución diplomática o gubernamental. El sector privado debe tomar la iniciativa en su propia defensa.