Digitaal dreigingslandschap

Wat als je nieuwe collega een Noord-Koreaanse spion blijkt te zijn?

6 minuten leestijd

door Michelle Dolk

Een nieuwe vorm van insider threat duikt steeds vaker op: nep-sollicitanten uit Noord-Korea die proberen binnen te dringen bij westerse organisaties. Wat begon als een handvol incidenten, groeit uit tot een wereldwijd veiligheidsprobleem dat ook Europese bedrijven treft.

Een onverwachte indringer

In juli 2024 ontdekte securitybedrijf KnowBe4 verdachte activiteiten van een nieuwe medewerker. De werknemer probeerde ongeautoriseerde software uit te voeren en bestanden te manipuleren. Na onderzoek bleek het te gaan om een Noord-Koreaanse IT’er die via valse identiteitsgegevens was aangenomen. Hij had vier sollicitatiegesprekken via video succesvol doorstaan en ook de achtergrondcheck overleefd.

Dit incident laat zien hoe ver cybercriminelen en statelijke actoren gaan. Identiteitsdreigingen gaan tegenwoordig verder dan gestolen wachtwoorden of gehackte accounts, ze zitten ook in je sollicitatieproces.

De schaal van het probleem

Volgens Microsoft heeft de Amerikaanse overheid meer dan 300 bedrijven ontdekt, waaronder enkele uit de Fortune 500, die alleen al tussen 2020 en 2022 op deze manier het slachtoffer zijn geworden. Het technologiebedrijf werd in juni gedwongen om 3.000 Outlook- en Hotmail-accounts die door Noord-Koreaanse werkzoekenden waren aangemaakt, op te schorten.

Onderzoekers van ESET volgen deze activiteit onder de naam WageMole, die overlapt met de groepen UNC5267 en Jasper Sleet.

Los daarvan werden in een Amerikaanse aanklacht twee Noord-Koreanen en drie 'facilitators' beschuldigd van het verdienen van meer dan 860.000 dollar bij 10 van de meer dan 60 bedrijven waarvoor zij werkten. Maar dit is niet alleen een Amerikaans probleem. Onderzoekers van ESET waarschuwden dat de focus recentelijk is verschoven naar Europa, waaronder Frankrijk, Polen en Oekraïne. Ondertussen heeft Google gewaarschuwd dat ook Britse bedrijven het doelwit zijn.

Hoe werkt deze infiltratie?

De aanvallers creëren of stelen identiteiten die lijken op echte professionals uit het land waarin ze willen werken. Ze maken geloofwaardige profielen aan op LinkedIn, GitHub en andere platforms om hun verhaal kracht bij te zetten.

Tijdens sollicitaties gebruiken ze deepfake-video’s, stemvervormers en nep-achtergronden om hun identiteit te verhullen of synthetische identiteiten te creëren.

ESET-onderzoekers koppelen WageMole aan een andere Noord-Koreaanse campagne, DeceptiveDevelopment. Deze campagne is erop gericht westerse ontwikkelaars te misleiden om te solliciteren naar niet-bestaande banen. De oplichters vragen hun slachtoffers om deel te nemen aan een programmeeruitdaging of een pre-interviewtaak. Maar het project dat zij downloaden om deel te nemen, bevat in werkelijkheid trojan-code. WageMole steelt de identiteit van deze ontwikkelaars om deze te gebruiken in zijn nep-werknemersprogramma's.

Cruciaal in dit netwerk zijn de buitenlandse tussenpersonen, die helpen bij:

  • Het aanmaken van accounts op freelanceplatforms.

  • Het openen van bankrekeningen of de Noord-Koreaanse arbeiders hun eigen geld lenen

  • Het regelen van lokale simkaarten en verificaties.

  • De frauduleuze identiteit van de werknemer tijdens de verificatie van het dienstverband valideren met behulp van achtergrondcontroleservices

Eenmaal aangenomen, ontvangt de tussenpersoon de zakelijke laptop en verbindt de Noord-Koreaanse IT-werknemer op afstand via VPN’s, proxies en remote-managementtools, waardoor zijn locatie verborgen blijft.

De gevolgen voor misleide organisaties kunnen enorm zijn. Niet alleen betalen ze onbewust werknemers uit een land waar strenge sancties tegen gelden, maar deze werknemers krijgen vaak ook bevoorrechte toegang tot kritieke systemen. Dat is een open uitnodiging om gevoelige gegevens te stelen of zelfs het bedrijf te chanteren.

Hoe herken en voorkom je dit?

1. Herken nep-sollicitanten

  • Controleer het digitale profiel van de kandidaat, inclusief sociale media en andere online accounts, op overeenkomsten met andere personen van wie zij mogelijk de identiteit hebben gestolen. Zij kunnen ook meerdere valse profielen aanmaken om onder verschillende namen te solliciteren.

  • Let op inconsistenties tussen ervaring en online activiteit, zoals recent aangemaakte accounts of algemene projectvoorbeelden.

  • Zorg ervoor dat ze een legitiem, uniek telefoonnummer hebben en controleer hun cv op inconsistenties. Controleer of de vermelde bedrijven daadwerkelijk bestaan. Neem rechtstreeks contact op met referenties (telefonisch/via videogesprek) en let vooral op medewerkers van uitzendbureaus.

  • Aangezien veel sollicitanten deepfake-audio, -video en -afbeeldingen kunnen gebruiken, is het aan te raden om tijdens de wervingsprocedure aandringen op videogesprekken en deze meerdere keren uitvoeren.

  • Vermijd achtergrondfilters en let op onnatuurlijke gezichtsbewegingen of vertraging tussen beeld en geluid.

  • Stel locatiegerichte vragen (bijvoorbeeld over lokale gewoonten of sport) om authenticiteit te toetsen.

2. Controleer werknemers op mogelijk verdachte activiteiten

  • Wees alert op rode vlaggen zoals Chinese telefoonnummers, het onmiddellijk downloaden van RMM-software naar een nieuw uitgegeven laptop en werkzaamheden die buiten de normale kantooruren worden uitgevoerd. Als de laptop zich authenticeert vanaf Chinese of Russische IP-adressen, moet dit ook worden onderzocht.

  • Houd het gedrag van werknemers en hun systeemtoegangspatronen in de gaten, zoals ongebruikelijke aanmeldingen, grote bestandsoverdrachten of veranderingen in werktijden. Concentreer op de context, niet alleen op waarschuwingen: het verschil tussen een fout en kwaadwillige activiteiten kan liggen in de intentie.

  • Gebruik insider threat-detectie om afwijkend gedrag te signaleren.

3. Reageer zorgvuldig

  • Als je denkt dat je een Noord-Koreaanse werknemer in je organisatie hebt geïdentificeerd, wees dan in eerste instantie voorzichtig om te voorkomen dat je hem of haar waarschuwt.Bewaar bewijsmateriaal en meld het incident bij de politie, terwijl u juridisch advies inwint voor het bedrijf.

  • Beperk hun toegang tot gevoelige bronnen en controleer hun netwerkactiviteiten. Beperk dit project tot een kleine groep vertrouwde insiders uit IT-beveiliging, HR en juridische zaken.

  • Bewaar bewijsmateriaal en meld het incident bij de politie, terwijl je juridisch advies inwint voor het bedrijf.

De menselijke factor blijft cruciaal

Als het stof is neergedaald, is het ook een goed idee om cybersecurity awarenesstrainingen bij te werken. Zorg ervoor dat alle medewerkers, met name IT-wervingsmanagers en HR-medewerkers, op de hoogte zijn van enkele rode vlaggen waar ze in de toekomst op moeten letten. De tactieken, technieken en procedures (TTP's) van cybercriminelen evolueren voortdurend, dus dit advies zal ook periodiek moeten worden aangepast.

De beste aanpak om te voorkomen dat nep-kandidaten kwaadwillende insiders worden, is een combinatie van menselijke kennis en technische controles. Zorg ervoor dat je alle aspecten in ogenschouw neemt.

Blijf lezen