В Amazon виявили хакера з КНДР, який вдавав айтівця з США. Його видала клавіатура

Незначна затримка в наборі команд новим ІТ-працівником вказала фахівцям із кібербезпеки Amazon, що він не той, за кого себе видає.

Дані про натискання клавіш з ноутбука працівника, який мав перебувати в США, мали б потрапити до штаб-квартири Amazon у Сіетлі за десятки мілісекунд. Натомість потік даних із цього комп’ютера становив понад 110 мілісекунд, розповів виданню Bloomberg головний спеціаліст з безпеки Amazon Стівен Шмідт.

Ця затримка вказувала, що насправді працівник перебував за півсвіту від офісу компанії. Його найняв підрядник Amazon, не здогадуючись, що він є одним із хакерів Північної Кореї, які викрадають гроші та дані у західних компаній, вдаючи віддалених IT-працівників.

З квітня 2024 року співробітники Amazon виявили й запобігли понад 1800 спробам північнокорейців, повідомив Шмідт. Цього року кількість таких спроб зросла в середньому на 27% з кварталу до кварталу, за даними компанії.

«Якби ми не шукали працівників з КНДР, ми б їх не знайшли», — зауважив Шмідт.

Цього року співробітники служби безпеки Amazon почали уважно стежити за системним адміністратором, якого найняла зовнішня фірма, після того, як системи моніторингу на ноутбуці Amazon працівника надіслали сповіщення про незвичайну поведінку. Amazon виявила, що комп’ютером керували дистанційно, і простежила трафік аж до Китаю. Шмідт зазначив, що цей ноутбук не мав доступу до важливих даних, тому співробітники служби безпеки деякий час спостерігали за хакером.

«Схоже, що ця особа використовувала той самий сценарій, що й інші північнокорейці, яких ми бачили, щоб отримати цю роботу», — згадав Стівен Шмідт.

Представник Amazon розповів, що шахраю допомагала жінка з Аризони, яку в липні засудили до кількох років тюремного ув’язнення за участь у схемах з фейковими ІТ-працівниками.

Шмідт зазначив, що хоча іноді шахраї крадуть справжню особистість, вони, як правило, дотримуються певної схеми: навчаються в одних і тих самих школах і працюють в одних і тих самих компаніях, часто в закордонних консалтингових фірмах, які важко перевірити з США. Інші ознаки включають невпевнене використання американських ідіом та англійських артиклів, таких як «a», «an» або «the».

За словами Шмідта, шахрая з КНДР видалили з систем Amazon протягом декількох днів. Він наголосив на необхідності ретельно перевіряти біографії потенційних співробітників, не обмежуючись скануванням LinkedIn, та мати «якісне програмне забезпечення для безпеки», яке може виявляти тонкі ознаки, такі як невеликі затримки в передачі даних від пальців на клавіатурі.

Раніше стало відомо, що північнокорейські хакери викрали $2 млрд у криптовалюті цього року, що значно перевищує тогорічний показник. Значна частина цієї суми припадає на найбільше цифрове пограбування в історії криптовалют, коли у лютому північнокорейські хакери викрали $1,5 млрд із криптобіржі Bybit.

Нагадаємо, що в листопаді цього року Project Manager Анастасія Кирнична розповіла про дивне спілкування з розробником, який мав українське ім’я та локацію у Львові, але заявив, що використовує лише англійську мову для роботи. Українські айтівці припускають, що за цим акаунтом стояли програмісти з Північної Кореї чи шахраї з інших країн.