Em julho de 2024, a empresa de cibersegurança KnowBe4 começou a observar atividades suspeitas relacionadas com um novo funcionário. O indivíduo começou a manipular e transferir ficheiros potencialmente prejudiciais e tentou executar software não autorizado.
Trabalhador era espião norte-coreano…
Posteriormente, descobriu-se que ele era um trabalhador norte-coreano que tinha enganado a equipa de RH para conseguir um emprego remoto na empresa. Ao todo, o indivíduo conseguiu passar por quatro entrevistas por videoconferência, bem como por uma verificação de antecedentes e pré-contratação.
O incidente ressalta que nenhuma organização está imune ao risco de contratar inadvertidamente um sabotador. As ameaças baseadas em identidade não se limitam a passwords roubadas ou invasões de contas, mas estendem-se às próprias pessoas que ingressam na sua força de trabalho. À medida que a IA fica mais apurada a falsificar a realidade, é hora de melhorar os seus processos de contratação.
A dimensão do desafio
Pode ficar surpreendido com a amplitude desta ameaça. Ela existe desde pelo menos abril de 2017, de acordo com o FBI. Rastreada como WageMole pela ESET, a atividade sobrepõe-se a grupos rotulados como UNC5267 e Jasper Sleet por outros investigadores. O governo dos EUA descobriu mais de 300 empresas, incluindo algumas da Fortune 500, que foram vítimas deste tipo de ataque só entre 2020 e 2022. A empresa de tecnologia foi forçada em junho a suspender 3.000 contas de Outlook e Hotmail criadas por candidatos a emprego norte-coreanos.
Separadamente, foi feita uma acusação nos EUA contra dois norte-coreanos e três ‘facilitadores’ de ganhar mais de 860.000 dólares em 10 das mais de 60 empresas em que trabalhavam. Mas não é apenas um problema dos EUA. Os investigadores da ESET alertaram que o foco mudou recentemente para a Europa, incluindo França, Polónia e Ucrânia.
Como fazem isso?
Milhares de trabalhadores norte-coreanos podem ter encontrado emprego desta forma. Eles criam ou roubam identidades que correspondem à localização da organização visada e, em seguida, abrem contas de email, perfis nas redes sociais e contas falsas em plataformas de desenvolvimento como o GitHub para adicionar legitimidade. Durante o processo de contratação, eles podem usar imagens e vídeos deepfake, ou software de troca de rosto e alteração de voz, para disfarçar a sua identidade ou criar identidades sintéticas.
De acordo com os investigadores da ESET, o grupo WageMole está ligado a outra campanha norte-coreana que acompanha como DeceptiveDevelopment. Esta centra-se em enganar programadores ocidentais para que se candidatem a empregos inexistentes. Os burlões solicitam que as suas vítimas participem num desafio de programação ou numa tarefa pré-entrevista. Mas o projeto que descarregam para participar contém, na verdade, código trojanizado. O WageMole rouba estas identidades de programadores para usar nos seus esquemas de trabalhadores falsos.
A chave para o esquema está nos facilitadores estrangeiros. Primeiro, eles ajudam a:
- Criar contas em websites de trabalho freelance;
- Criar contas bancárias ou emprestar as suas próprias contas aos trabalhadores norte-coreanos;
- Comprar números de telemóvel de cartões SIM;
- Validar a identidade fraudulenta do trabalhador durante a verificação de emprego, usando serviços de verificação de antecedentes.
Depois de o trabalhador falso ser contratado, estes indivíduos recebem o portátil da empresa e configuram-no numa base de operações localizada no país da empresa contratante. O trabalhador norte-coreano de TI usa então VPNs, serviços de proxy, monitorização e gestão remotas (RMM) e/ou servidores privados virtuais (VPS) para ocultar a sua verdadeira localização.
O impacto nas organizações enganadas pode ser enorme. Não só estão a pagar inadvertidamente a trabalhadores de um país fortemente sancionado, como esses mesmos funcionários muitas vezes obtêm acesso privilegiado a sistemas críticos. Isso é um convite aberto para roubar dados confidenciais ou mesmo chantagear a empresa.