Amazon dał się złapać na fałszywe CV informatyka z Korei Północnej. Koreańczyk wpadł nie przez błędy w pracy czy zaniechanie procedur bezpieczeństwa, a przez… opóźnienie w przesyłaniu informacji z klawiatury.
Pjongjang już od kilku lat inwestuje w armię hakerów, którzy pod przykrywką pracują zdalnie dla amerykanskich korporacji. Ich głównym celem jest wykradnięcie poufnych danych, a tak długo jak nie są złapani, tak długo są źródłem dolarów amerykańskich dla reżimu Kima.
Choć za procederem stoi cała machina – włącznie z farmami laptopów w Stanach Zjednoczonych – to nie jest ona idealna. Zwykle Koreańczyków z Północy zdradzają zbyt nachalne próby dostępu do danych. Tym razem jednak jednego z nich zdradziło… opóźnienie wpisywania znaków na klawiaturze.
Plan Koreańczyków z Północy był idealny. Popsuły go lagi
Jak ujawnił Bloomberg, działowi cyberbezpieczeństwa Amazonu udało się zdemaskować północnokoreańskiego pracownika IT. Udało się tego dokonać poprzez analizę danych dotyczących opóźnień w przesyle naciśnięć klawiszy – innymi słowy lagi.
Nowy administrator systemów, formalnie zatrudniony przez zewnętrznego kontraktora i mający pracować z terytorium USA, generował opóźnienia niepasujące do deklarowanej lokalizacji. Zamiast kilkudziesięciu milisekund, typowych dla połączeń krajowych, dane z jego laptopa docierały do siedziby Amazona w Seattle z opóźnieniem przekraczającym 110 ms.
To właśnie ten niemal niewidoczny dla człowieka lag wzbudził podejrzenia zespołu bezpieczeństwa. – Gdybyśmy nie szukali aktywnie pracowników z Korei Północnej, nigdy byśmy ich nie znaleźli – przyznał Stephen Schmidt, dyrektor ds. bezpieczeństwa w Amazonie, podczas wydarzenia w nowojorskim biurze firmy.
Dalsze dochodzenie wykazało, iż laptop przekazany kontraktorowi był zdalnie kontrolowany, a ślad sieciowy prowadził aż do Chin. Sam sprzęt nie miał dostępu do wrażliwych systemów, dlatego zespół bezpieczeństwa przez pewien czas obserwował działania intruza, zamiast natychmiast go odciąć. Analiza dokumentów rekrutacyjnych – CV i aplikacji – gwałtownie potwierdziła znany już wcześniej schemat działania północnokoreańskich infiltratorów.
Amazon podkreśla, iż nie zatrudnił obywatela Korei Północnej bezpośrednio. W całej sprawie kluczową rolę odegrała jednak Amerykanka z Arizony, która pośredniczyła w procederze, udostępniając komputery i pomagając Koreańczykom w obejściu ograniczeń. Kobieta została w lipcu skazana na wieloletnią karę więzienia za udział w oszustwie.
Skala problemu jest znacznie większa niż pojedynczy przypadek. Od kwietnia 2024 r. Amazon udaremnił ponad 1800 prób zatrudnienia północnokoreańskich pracowników IT, a liczba takich incydentów rośnie średnio o 27 proc. kwartał do kwartału. Celem tych działań jest nie tylko potencjalny dostęp do danych, infrastruktury i wiedzy technologicznej zachodnich firm, ale także zdobywanie twardej waluty dla reżimu w Pjongjangu.
Jak zauważają eksperci, większość CV Koreańczyków z Północy ma wspólne mianowniki: podobne ścieżki edukacji, doświadczenie w trudno weryfikowalnych firmach konsultingowych, problemy z amerykańskimi idiomami czy użyciem rodzajników w języku angielskim. Tym razem jednak kluczowym dowodem okazała się czysta informatyka – opóźnienia sieciowe, których nie da się w prosty sposób zamaskować.
Może zainteresować cię także: