A medida que crece la información de que los operativos norcoreanos están apuntando a trabajos de TI (principalmente) en los Estados Unidos, las organizaciones ahora tienen una hoja de trucos para ayudarlas a encontrar operativos potenciales.
Para comprender los errores comunes, los expertos en inteligencia de amenazas y respuesta a incidentes de Mandiant entrevistaron a “docenas” de organizaciones que han sido víctimas de la creciente tendencia de los espías norcoreanos que apuntan a trabajos de TI en los Estados Unidos. Los espías norcoreanos suelen tener su base en China o Rusia por orden del gobierno, transfiriendo grandes salarios para apoyar al ejército de Kim Jong-un y obteniendo acceso a las redes y sistemas de sus empleadores para una futura explotación financiera. Estamos tratando de asegurar el acceso a largo plazo.
Estas entrevistas arrojaron muchos consejos que los empleadores deben tener en cuenta al contratar para su próximo puesto, muchos de los cuales pueden resumirse en una debida diligencia.
Por ejemplo, un análisis de los currículums de conocidos agentes norcoreanos, uno de los muchos revisados por Mandiant, encontró que simplemente buscando en la web puntos de datos comunes, resulta que los perfiles de los solicitantes de empleo se pueden descubrir por su nombre.
Buscar en la web las direcciones de correo electrónico proporcionadas por los solicitantes es una buena forma de encontrar dichas cuentas vinculadas. Si está conectado a un perfil con un nombre diferente al nombre proporcionado en su solicitud, es posible que el solicitante esté postulando para varios puestos en varias empresas.
Algunos trabajadores de TI remotos, norcoreanos o no, prueban suerte en varias empresas y terminan ganando dinero extra antes de que sus acciones queden al descubierto. Es bien sabido que hay personas que están tratando de ganar dinero.
Sin embargo, esto es algo por lo que los agentes de Pyongyang son particularmente conocidos por explotar el mercado laboral estadounidense, por lo que las señales de identidades múltiples deberían verse como una gran señal de alerta para los empleadores.
Otros pasos recomendados para los empleadores incluyen exigir verificaciones de antecedentes exhaustivas. Suena básico, pero exigir cosas como identificación biométrica e identificación notariada puede ser de gran ayuda para identificar a los solicitantes fraudulentos o impedir que presenten su solicitud en primer lugar.
Los reclutadores que realicen entrevistas deben exigir que las cámaras estén encendidas durante las videollamadas para que puedan comparar las imágenes de video con las fotografías proporcionadas por los solicitantes. Esto también suena básico, pero numerosas advertencias sobre la amenaza de los trabajadores ilegales norcoreanos muestran cuán ampliamente no se están implementando estas medidas aparentemente básicas.
Los departamentos de recursos humanos también necesitan capacitación sobre cómo identificar rasgos comunes entre los solicitantes norcoreanos fraudulentos, incluido cómo detectar si las imágenes proporcionadas han sido alteradas por IA.
Mandiant señaló que muchos de los currículums que evaluó fueron creados con imágenes de perfil manipuladas que parecían haber sido robadas de perfiles públicos de LinkedIn.
Además, conocer las características comunes de los currículums falsos puede ayudarle a identificar qué solicitantes deben investigarse más a fondo. Por ejemplo, Mandiant descubrió que los agentes norcoreanos pueden revelar sus verdaderas intenciones al incluir su dirección en Estados Unidos como su hogar y al mismo tiempo declarar que asisten a universidades en el extranjero, como en Japón, Hong Kong o Singapur. Dice que hay muchas. Es menos probable que las instituciones en estas regiones acepten estudiantes extranjeros, por lo que debería haber dudas sobre la validez de su solicitud.
“Esta discrepancia puede impedir que los posibles empleadores norteamericanos verifiquen o se comuniquen con estas instituciones extranjeras en relación con los solicitantes”, escribió Mandiant en su blog. “Mandiant también ha observado que las universidades que figuran en las verificaciones de antecedentes pueden no coincidir con los antecedentes académicos del solicitante que figuran en su currículum, incluso cuando se inscribieron y los programas de grado completados”.
Los solicitantes fraudulentos tienen algo en común con estos currículums de código abierto, ya que los currículums fraudulentos a menudo se modelan a partir de plantillas existentes disponibles públicamente o muestras completas.
Herramientas tecnológicas para eliminar a los impostores
El viaje de investigación no termina en la etapa de contratación. Ya sea por intuición o por algo más medible, como un desempeño laboral deficiente, las organizaciones tienen formas de eliminar a los posibles malos trabajadores.
Sabemos por advertencias y casos penales anteriores de Estados Unidos que los trabajadores necesitan acceso a computadoras con sede en Estados Unidos para poder realizar tareas en Estados Unidos mientras trabajan en China o Rusia.
Este acceso suele ser facilitado por granjas de PC, que pueden causar problemas legales a los ciudadanos estadounidenses que las operan, como descubrió recientemente un hombre de Tennessee.
Si sospecha que sus empleados se están beneficiando de una de estas granjas, monitorear el tráfico de red desde sus dispositivos puede proporcionar evidencia adicional que respalde sus sospechas.
¿Está la computadora portátil conectada a un dispositivo de teclado, video y mouse (KVM) basado en IP? Si es así, ¿por qué un ciudadano estadounidense legítimo necesitaría acceso a dicho dispositivo para realizar su trabajo?
¿Los empleados instalan una o más aplicaciones de administración remota en sus dispositivos inmediatamente después de que se envía el dispositivo? Nuevamente, esto claramente no es un comportamiento normal.
Hablando de envío, ¿la dirección de envío solicitada coincide con la dirección registrada del solicitante? De lo contrario, es posible que la computadora portátil proporcionada por la empresa haya sido enviada y recogida en una granja de computadoras portátiles.
“Observamos que los trabajadores de TI de Corea del Norte utilizan ubicaciones asociadas con documentos de identificación robados utilizados para el empleo, como licencias de conducir robadas, que a menudo no coinciden con el lugar donde termina siendo enviada y almacenada la computadora portátil”, dijo Mandiant.
Los estafadores suelen enrutar las conexiones a estas soluciones KVM y de administración remota a través de VPN. Astrill VPN es una VPN popular, pero hay muchas otras opciones.
Con algunos cambios en el proceso de incorporación, los empleadores pueden renunciar por completo a la ruta de monitoreo del tráfico. Exigir números de serie de portátiles durante la incorporación es una forma que tienen los empleadores de encontrar usuarios de granjas de portátiles con bastante rapidez. Aquellos con acceso físico pueden encontrarlo cuando lo necesiten.
La implementación de protocolos MFA basados en hardware que obliguen a los empleados a interactuar con dispositivos proporcionados por la empresa es otra mitigación recomendada por Mandiant. ®
https://www.theregister.com/2024/09/24/mandiant_north_korea_workers/