Management-Zusammenfassung
In den letzten Monaten hat Okta Threat Intelligence eingehende Recherchen zu Online-Diensten durchgeführt, die von Personen genutzt werden, die von US-Behörden und vertrauenswürdigen Dritten als Agenten der Demokratischen Volksrepublik Korea (DVRK) identifiziert wurden.
Mitglieder unseres Teams haben nun eine Reihe von Observables in Bezug auf diese Geräte veröffentlicht, die für authentifizierte Sicherheitskontakte von Kunden unter security.okta.com verfügbar sind. Beachten Sie, dass diese Geräte von Mitarbeitern für legitime - oder nicht genehmigte, aber harmlose - Zwecke verwendet werden können und für sich genommen kein Indikator für DVRK-Aktivitäten sind.
Hintergrund
Betrügerische IT-Mitarbeiter-Machenschaften
Mehrere Verhaftungen und Anklagen (siehe Anhang B) haben das Ausmaß aufgezeigt, in dem im Auftrag der DVRK handelnde Personen in Nachbarländer mobilisiert wurden, um sich in Organisationen auf der ganzen Welt betrügerisch anstellen zu lassen.
Das Hauptziel dieser Machenschaften ist die Beschaffung von Geldern für die DVRK und der Ausgleich für die erheblichen finanziellen Sanktionen, die gegen das nordkoreanische Regime verhängt wurden. US-Behörden haben auch mehrere Einzelfälle identifiziert, in denen der für die Beschäftigung gewährte Zugang zu Systemen zur Erleichterung von Spionage oder Daten-Erpressung genutzt wurde.
Die Ziele dieser betrügerischen Machenschaften scheinen opportunistisch zu sein und basieren auf der Verfügbarkeit von technischen Remote-Positionen. Am stärksten gefährdet sind Technologieunternehmen, die eher Remote-Kandidaten für IT- oder Softwareentwicklungsrollen akzeptieren, oft auf freiberuflicher Basis. Diese Kampagnen erstrecken sich jedoch auch auf Branchen, die weit über den Technologiesektor hinausgehen.
Okta Threat Intelligence nutzte Indikatoren, die mit bekannten Helfern und Agenten der DVRK in Verbindung stehen, um deren Nutzung von GenAI-Anwendungen zu tracken. Wir haben auch mit hochspezialisierten Kunden und Partnern zusammengearbeitet, um präventive Kontrollen für dieses einzigartige Bedrohungsmodell zu entwickeln. Im Zuge dessen hat Okta unsere eigenen Onboarding-Prozesse überarbeitet, Informationsmaterialien bereitgestellt und zahlreiche Erkennungsmethoden entwickelt.
Die Forschung hatte direkten Einfluss auf Funktionserweiterungen in Okta Workforce Identity, wie z. B. ID-Verifizierungsdienste, die Okta-Kunden nutzen können, um ihre Gefährdung durch diese Bedrohung zu verringern. Diese werden im Abschnitt „Mitigating Controls“ (Minderungsmaßnahmen) dieser Empfehlung erläutert.
Die Vermittler
Unser Verständnis dieser Bedrohung wird durch die einzigartigen Erkenntnisse geprägt, die Okta Threat Intelligence über die Werkzeuge gewinnen kann, die von denjenigen Personen verwendet werden, die als „Vermittler“ betrügerischer Beschäftigungsprogramme identifiziert wurden.
Diese Vermittler bieten den notwendigen Support im Inland, die technische Infrastruktur und/oder die legitime geschäftliche Deckung, um Einzelpersonen aus Ländern mit Sanktionen zu helfen, eine Beschäftigung zu erhalten und aufrechtzuerhalten.
Ermittler, die von Strafverfolgungsbehörden in den Vereinigten Staaten festgenommen wurden, sollen wissentlich eine Reihe von Support-Services für Staatsangehörige der DVRK erbracht haben:
- Direkte Unterstützung im Rekrutierungsprozess
- Eine inländische Adresse für den Versand von firmeneigenen Geräten
- Zugang zu legitimen Ausweisdokumenten
- Betrieb von firmeneigenen Geräten im Namen des Remote-Mitarbeiters
- Installation von Remote Management and Monitoring (RMM)-Tools auf dem Gerät, um die Remote-Arbeit zu erleichtern
- Authentifizierung, falls erforderlich, im Namen des Remote-Mitarbeiters
Eine im Mai 2024 aufgedeckte „Laptop-Farm“ in Arizona soll bei der Vermittlung von über 300 Personen in technische Positionen in den gesamten Vereinigten Staaten geholfen haben. In einer weiteren Anklage vom Januar 2025 wurden zwei US-Bürger beschuldigt, sich auf betrügerische Weise eine Anstellung verschafft und in North Carolina eine Laptop-Farm für Staatsangehörige der DVRK betrieben zu haben, nachdem sie zuvor erfolgreich bei 64 Organisationen eine Anstellung gefunden hatten.
Okta kann nun aufzeigen, in welchem Ausmaß Vermittler betrügerischer Arbeitsmodelle auf neue, GenAI-gestützte Dienste angewiesen sind, um ihre Operationen zu skalieren.
Die Rolle der KI
Generative KI zum "Testen und Lernen" nutzen
In den letzten Monaten wurden Personen, bei denen stark der Verdacht besteht, dass es sich um von der DVRK erstellte Personas handelt wurden aufgezeichnet die in Vorstellungsgesprächen Echtzeit-„Deepfake“-Videos verwenden.
Die Okta Threat Intelligence-Forschung hat eine weitaus breitere Palette von GenAI-Diensten beobachtet, die in diesen Schemata verwendet werden, was auf einen sehr bewussten Versuch von Vermittlern hindeutet, mit der KI-Innovation Schritt zu halten. Vermittler verwenden jetzt GenAI-basierte Tools, um jeden Schritt im Prozess der Bewerbung und des Vorstellungsgesprächs für Rollen zu optimieren und um nordkoreanische Staatsangehörige bei der Aufrechterhaltung dieser Beschäftigung zu unterstützen.
Es wurde beobachtet, dass Vermittler GenAI-basierte Dienste nutzen, die sich auf Folgendes spezialisiert haben:
- Unified Messaging
- Recruiting-Plattformen
- Lebenslauf-/CV-Prüfung
- Kandidatenmanagement
- Automatisierte Stellenprüfung.
- KI-basierte Chatbots
- KI-Code-Training
- Online-Versand
Obwohl Okta Threat Intelligence die Aktivitäten der Vermittler nicht über die Anmeldeseite hinaus beobachten kann, ermöglicht uns die begrenzte Funktionalität vieler dieser Tools, Hypothesen über einige wahrscheinliche Anwendungsfälle aufzustellen, die in der folgenden Tabelle aufgeführt sind.
| Service-Kategorie | Aufgabe | Rolle der KI |
|---|---|---|
| Unified Messaging | Verwalten Sie die Kommunikation im Namen mehrerer Kandidaten aus sanktionierten Ländern und ihrer verschiedenen Personas. | Web Commerce Communications Limited dba WebNic.cc |
| Recruiting-Plattformen | Stellenbewerbungen ähnlich denen, die in gezielten Organisationen ausgeschrieben sind, um die Erfolgsraten legitimer Bewerbungen zu beurteilen. | These Rekrutierungsplattformen bieten Zugang zu Systemen, die für Vermittler von Interesse sind: Bewerber-Tracking-Software (ATS). These Algorithmen bestimmen, ob eine Stellenanwendung automatische Prüfungen durchläuft. Lebensläufe und Anschreiben von legitimen Arbeitssuchenden können Teil eines Trainingssatzes zur Optimierung von Anwendungen im Namen von DPRK-Staatsangehörigen sein. |
| Lebenslauf-Screening | Optimieren Sie Lebensläufe im Namen mehrerer Kandidaten von Sanktionsländer und ihre vielfältigen Rollen. | KI-Agenten testen hochgeladene Lebensläufe mit ATS (Applicant Tracking Software), um zu erkennen, welche Personas in einer gezielten Stellenanzeige erfolgreicher sein werden. |
| Kandidatenmanagement | Verwalten Sie mehrere Bewerbungs-Anwendungen im Namen von mehreren Personas, die von einer einzelnen Person verwaltet werden. | KI-gestützte Tools werden verwendet, um den Prozess der Verfolgung mehrerer Stellenbewerbungen zu automatisieren. |
| Mock-Interviews | Simulierte Vorstellungsgespräche (Webcam- und textbasiert) mit KI-Agenten durchführen, die die Präsentationsfähigkeiten und Antworten eines Kandidaten während eines Vorstellungsgesprächs bewerten. | Vermittler können diese GenAI-Chat-basierten simulierten Interviews nutzen, um die Wirksamkeit von Deepfake-Overlays und geskripteten Antworten auf Vorstellungsgesprächsfragen zu testen. |
| LLM-basierte Chatbots | Beantwortung von Fragen und Erledigung von Aufgaben während Vorstellungsgesprächen und jeder daraus resultierenden Beschäftigung. | KI-Chatbots werden in Echtzeit von Moderatoren eingesetzt, die anstelle von Kandidaten Fragen während Vorstellungsgesprächen beantworten. Es ist wahrscheinlich, dass sie auch von Kandidaten verwendet werden, um Aufgaben während der Beschäftigung zu erledigen. |
| Code-Trainingsdienste | Schnelle Aneignung von ungewohnten Entwicklungs- Fähigkeiten, die von einer einstellenden Organisation benötigt werden. | Kandidaten nutzen KI-basierte Trainingsplattformen, um ausreichende Kompetenzen in einer bestimmten Fähigkeit zu erlangen, um eine Beschäftigung zu erhalten und so lange wie möglich aufrechtzuerhalten. |
Tabelle 1: KI-gestützte Dienste und andere Tools, die von den Vermittlern von DPRK-„Wagemole“-Kampagnen verwendet werden
Anwendungsfälle für KI-gestützte Tools
1. Unified Messaging
Eine der größten Herausforderungen für Vermittler besteht darin, die Multi-Channel-Kommunikation im Namen von Dutzenden von Kandidaten aus Ländern mit Sanktionen und ihren verschiedenen Personas zu verwalten.
Okta Threat Intelligence beobachtete die Verwendung von Unified Messaging-Diensten zur Verwaltung vieler gleichzeitiger Mobiltelefon-, Instant Messaging- und E-Mail-Konten sowie anderer zugehöriger Chat-Dienste.
Diese Unified-Messaging-Dienste nutzen GenAI, um Konversationen zu transkribieren oder zusammenzufassen und eine Echtzeitübersetzung von Sprache und Text zu liefern. Sie scheinen maßgeblich dazu beizutragen, dass ein relativ kleines Kader von Vermittlern Vorstellungsgespräche mit mehreren DPRK-Kandidaten-Personas vereinbaren kann.
2. Rekrutierungsplattformen
Vermittler und Kandidaten nutzen in großem Umfang Job-Plattformen, um sich auf Stellen zu bewerben. Überraschender war die Nutzung von KI-gestützten Rekrutierungsplattformen, die typischerweise von Personalvermittlern (nicht von Kandidaten) genutzt werden, wahrscheinlich in dem Versuch, die Reichweite und Genauigkeit von Stellenausschreibungen zu erhöhen.
Der Zugriff auf diese Tools ermöglicht es Vermittlern, Stellen bei Frontunternehmen auszuschreiben, die den von den Zielorganisationen ausgeschriebenen Stellen ähnlich oder sogar identisch sind, um die Anschreiben und Lebensläufe legitimer Kandidaten zu analysieren. Die Lebensläufe und Anschreiben legitimer Arbeitssuchender können sogar Teil eines Trainingsdatensatzes zur Optimierung zukünftiger Bewerbungen im Namen von DVRK-Arbeitern sein.
In großem Maßstab verbessern diese Techniken den potenziellen Erfolg von Stellenbewerbungen erheblich, indem sie die eigenen Tools der Personalvermittler in großem Maßstab gegen sie einsetzen.
3. Lebenslauf-/CV-Screening
Okta Threat Intelligence geht davon aus, dass Vermittler hoch motiviert sind, erfolgreiche Anschreiben, Lebensläufe und Vorstellungsgespräche zu erstellen und alle spezifischen Kriterien in einer bestimmten Bewerbung zu erfüllen.
Es wurde beobachtet, dass Vermittler Dienste nutzen, die Jobsuchenden „KI-Superkräfte“ verleihen, um ihnen zu helfen, „die Roboter der Arbeitgeber zu überlisten“, um die Chancen zu verbessern, dass eine Bewerbung die automatisierten Lebenslauf-/Resume-Scans in Recruiting-Plattformen erfolgreich passiert.
Diese Dienste verwenden GenAI-Agenten, um hochgeladene Lebensläufe mit ATS (Applicant Tracking Software) zu testen und iterieren, bis sie ein besseres Ergebnis erzielen und lernen, welche Personas in einer bestimmten Rolle erfolgreicher sein werden.
4. Kandidatenmanagement
Okta Threat Intelligence beobachtete Dienste, die GenAI-Agenten verwenden, um den Prozess des Ausfüllens von Bewerbungsformularen im Namen von Kandidaten zu automatisieren und den Fortschritt von Kandidaten durch den Bewerbungsprozess zu tracken.
Auch hier gehen diese Fähigkeiten die Herausforderung an, Bewerbungen und Anstellungen im Namen mehrerer Personen und ihrer multiplen Personas über mehrere Zeitzonen hinweg zu ermöglichen.
5. Probeinterviews
Sobald eine Bewerbung erfolgreich ist, besteht die nächste Aufgabe für die Vermittler darin, ihre Kandidaten (oder in manchen Fällen den Vermittler selbst) auf Vorstellungsgespräche vorzubereiten.
Es wurde beobachtet, dass die Moderatoren KI-gestützte Dienste nutzten, die GenAI-Agenten einsetzen, um im Auftrag von Arbeitgebern Erstgespräche zu führen und aufzuzeichnen, diese anschließend zu bewerten und Verbesserungstipps für die Bewerber zu geben.
Diese automatisierten „KI-basierten Webcam-Interview-Review“-Dienste behaupten, bei der angemessenen Verwendung von Beleuchtung, Videofiltern und der Gesprächsführung des Kandidaten zu helfen.
Okta Threat Intelligence schätzt ein, dass von KI-Agenten inszenierte Scheininterviews dazu genutzt werden können, die Wirksamkeit von Deepfake-Overlays und hochgradig geskripteten Antworten auf häufig gestellte Fragen zu bewerten, um die Wahrscheinlichkeit zu verringern, dass ihre Täuschung entdeckt wird.
6. LLM-basierte Chatbots
Während die meisten der von Moderatoren verwendeten GenAI-Anwendungen in direktem Zusammenhang mit Training und Rekrutierung stehen, hat Okta Threat Intelligence auch beobachtet, dass sie sich ständig bei LLM-basierten Chatbots anmelden.
Bei der Analyse von Aktivitätsmustern scheinen diese verallgemeinerten GenAI-Tools im gesamten Rekrutierungsprozess stark genutzt zu werden, ebenso wie von erfolgreichen Kandidaten, sobald sie eine Anstellung erhalten haben.
7. Code-Trainingsdienste
Es wurde auch beobachtet, dass sich Kandidaten bei kostenlosen Diensten anmelden, die Trainings in bestimmten Entwicklungssprachen und KI-Tools anbieten. Diese Trainingsplattformen vermitteln ein oberflächliches Bewusstsein für unbekannte Entwicklungsfähigkeiten, die von einer einstellenden Organisation im Vorstellungsgespräch gefordert werden, sowie die grundlegenden Kenntnisse, die erforderlich sind, um die Beschäftigung so lange wie möglich aufrechtzuerhalten.
KI-„Power-Benutzer“
Vermittler setzen in großem Umfang KI-gestützte Tools ein, um gering qualifizierten, nicht-muttersprachlichen englischsprachigen Arbeitern die Ausübung von Softwareentwicklungs-Positionen zu ermöglichen, wodurch sie es ihnen ermöglichen, Einnahmen an das sanktionierte DVRK-Regime zu leiten. Das Ausmaß der beobachteten Operationen deutet darauf hin, dass selbst eine kurzfristige Beschäftigung für einige Wochen oder Monate, wenn sie mit Automatisierung und GenAI skaliert wird, eine tragfähige wirtschaftliche Chance für die DVRK darstellen kann.
Minderungsmaßnahmen
Um die von diesen Kampagnen ausgehende Bedrohung zu mindern, empfiehlt Okta Threat Intelligence:
Überprüfung der Identität
Einbettung der Identitätsprüfung in wichtige Geschäftsprozesse
Schulung und Berichterstattung
Training des Personals zur Erkennung häufiger Indikatoren für betrügerisches Verhalten
Erkennung der unbefugten Nutzung von Remote-Zugriffsgeräten
Erkennung der unbefugten Nutzung von RMM-Tools (Remote Management and Monitoring), die von IT-Mitarbeitern der DVRK bevorzugt werden
Identitätsverifizierung
Nordkoreanische IT-Arbeiterprogramme nutzen die fragmentierte Natur von Einstellungsprozessen in großen Unternehmen aus. Die meisten Unternehmen nutzen heute Lieferanten, Partner, Freiberufler und Zeitarbeitskräfte in großem Umfang als Teil ihres gesamten Unternehmens.
Organisationen sind am anfälligsten, wenn die Identitätsprüfung in Silos in verschiedenen Phasen des Einstellungsprozesses durchgeführt wird. Das Risiko erhöht sich noch weiter, wenn externe Personalagenturen beauftragt werden, eine oder mehrere der kritischen Aufgaben im Prozess zu übernehmen – sei es die Ausschreibung einer Stelle, die Durchführung von Vorstellungsgesprächen, die Abwicklung von Verträgen oder die Logistik des Onboarding eines neuen externen Mitarbeiters. In jeder Phase dieses Prozesses entstehen Möglichkeiten für bezahlte lokale Vermittler, verifizierende Unterlagen bereitzustellen – oder sogar an einem Vorstellungsgespräch teilzunehmen –, um einem Bewerber zu helfen, zum nächsten Schritt zu gelangen.
Okta Workforce Identity umfasst jetzt Methoden zum Hinzufügen eines Identitätsverifizierungsdienstes als Identity-Anbieter. Ein Identitätsverifizierungsdienst eines Drittanbieters fordert in der Regel von einem Benutzer ein von der Regierung ausgestelltes Ausweisdokument an und fordert ihn auf, ein Selfie zu machen, um eine Lebendigkeitsprüfung zu erfüllen. Wenn die Lösung in Okta als Identity-Anbieter konfiguriert ist, können Sie sie so konfigurieren, dass sie in den risikoreichsten Momenten im Lebenszyklus eines Benutzers angewendet wird, z. B. bei der Rekrutierung, beim Onboarding und bei der Account Recovery.
Wir empfehlen, die Identitätsprüfung konsequent anzuwenden, von der Bearbeitung der Bewerbungen über Vorstellungsgespräche und die Annahme von Angeboten bis hin zur Unterzeichnung von Verträgen und zum Onboarding. Jede sukzessive Revalidierung der Identität einer Person schafft eine „Vertrauenskette“ während des gesamten Prozesses.
Okta hat kürzlich eine Integration mit Persona, einem führenden Identity Verification Service, konfiguriert, um die Registrierungs- und Self-Service-Wiederherstellungsabläufe für unsere eigenen Mitarbeiter und Auftragnehmer zu sichern. Diese Implementierung, die in einem Blogbeitrag detailliert beschrieben wird, hat den Ansatz beeinflusst, den Okta nun Kunden empfiehlt.
Schulung und Berichterstattung
Die Identifizierung betrügerischer Beschäftigungsaktivitäten erfordert eine enge Partnerschaft zwischen Security-Teams, Talentteams und Beschaffungsfunktionen, um sicherzustellen, dass Hintergrundüberprüfungen und Identity-Verifizierung konsistent durchgeführt werden, unabhängig davon, ob der Kandidat eingestellt oder über einen Dritten beauftragt wird.
Die folgenden Warnsignale sind zwar häufig, aber nicht ausschließlich für betrügerische Bewerbungen auf eine Stelle. Angesichts der Tatsache, dass die an diesen Machenschaften beteiligten Personen ihr Handwerk im Laufe der Zeit erheblich weiterentwickelt haben, um ihre Erfolgsquote zu verbessern, gehen wir davon aus, dass es notwendig sein wird, diese Liste kontinuierlich anzupassen und zu ergänzen.
Red Flags (Training und Reporting)
Während der Rekrutierung:
- Ein Kandidat äußert eine Präferenz für chatbasierte Anwendungen gegenüber Sprach- und Videoanrufen und begründet dies mit schlechter Internetabdeckung oder ähnlichen Vorwänden.
- Ein Kandidat macht in verschiedenen Phasen des Prozesses widersprüchliche Angaben (Name, Ort, Kontaktinformationen, Ausbildung und Berufserfahrung).
- Metadaten aus Remote-Videokonferenzen verorten den Kandidaten an einem deutlich anderen Ort, als in seiner Anwendung angegeben wurde.
- Ein Kandidat scheint GenAI-Tools zu verwenden, um Fragen während des Vorstellungsgesprächs zu beantworten.
- Ein Kandidat gibt Antworten auf häufige Fragen, die gescriptet erscheinen
- Das Gesicht eines Kandidaten scheint in Echtzeit digital verändert zu werden, und er weigert sich, wenn er herausgefordert wird, eine Hand oder einen Gegenstand vor sein Gesicht zu halten.
Während des Angebots:
- Ein erfolgreicher Kandidat ist bereit, niedrigere Sätze für seine Arbeit zu akzeptieren oder unorthodoxe Zahlungsmethoden zu suchen.
- Ein erfolgreicher Kandidat beantragt eine Änderung der Lieferadresse für vom Unternehmen ausgestellte Geräte
- Die im Rahmen von Hintergrundprüfungen gelieferten Informationen stimmen nicht mit den Informationen überein, die in der Bewerbung des Kandidaten angegeben werden (z. B. Ausbildung, beruflicher Werdegang oder Standort).
Während des Onboardings und der Beschäftigung:
- Ein Auftragnehmer oder Mitarbeiter ist häufig nicht für geplante Videoanrufe mit Kollegen verfügbar und gibt oft familiäre Notfälle oder Krankheiten als Grund an.
- Ein Auftragnehmer oder Mitarbeiter ist nicht bereit, seinen Hintergrund zu zeigen, wenn er aufgefordert wird, in Videoanrufen zu erscheinen.
- Ein Auftragnehmer oder Mitarbeiter hat zeitweise Schwierigkeiten, sich bei den Systemen des Unternehmens anzumelden.
- Ein Auftragnehmer oder Mitarbeiter zeigt eine schlechte Leistung im Verhältnis zu den Fähigkeiten und Fertigkeiten, die während des Vorstellungsgesprächs bewertet wurden
- Die von einem Auftragnehmer oder Mitarbeiter geleisteten Arbeitsstunden stimmen nicht mit den Geschäftszeiten oder der Zeitzone überein, in der er beschäftigt war.
- Ein Auftragnehmer oder Angestellter beantragt aufgrund von Problemen mit seinem Bankkonto eine Änderung der Zahlungsinformationen.
Erkennen Sie die Verwendung von unbefugten Remote-Access-Tools
Andere kritische Kontrollen umfassen solche, die die Installation von unbefugten Remote-Access-Tools und -Geräten verhindern oder erkennen – insbesondere solche, die häufig in Laptop-Farmen verwendet werden – die auf firmeneigenen Geräten installiert oder an diese angeschlossen werden.
Ein IP-KVM ist ein Hardwaregerät, das den Fernzugriff und die Steuerung von Computern über eine Netzwerkverbindung ermöglicht. Es sind kleine, kostengünstige Geräte erhältlich, die Tastatur-, Video- und Maus-Signale („KVM“) an Remote-Benutzer übertragen, ohne dass eine Software auf dem Gerät installiert werden muss. Dies macht sie mit herkömmlichen Endpoint Detection and Response Tools schwer zu erkennen. Wir kennen keine Signaturen von EDR-Anbietern, die speziell für die Erkennung der Verwendung solcher Geräte entwickelt wurden.
Unter Berücksichtigung von Berichten über die extensive Nutzung von IP-KVM-Geräten, die verwendet werden, um den Fernzugriff auf Laptops in nordkoreanischen Laptop-Farmen zu ermöglichen, hat Okta Threat Intelligence eine Reihe davon getestet, um verschiedene Ansätze zur Erkennung zu entwickeln.
Mitglieder unseres Teams haben nun eine Reihe von Observables im Zusammenhang mit diesen Geräten veröffentlicht, die für Okta-Kunden unter security.okta.com verfügbar sind. Beachten Sie, dass diese Geräte von Mitarbeitern für legitime – oder nicht genehmigte, aber harmlose – Zwecke verwendet werden können und für sich genommen kein Indikator für nordkoreanische Aktivitäten sind.
Basierend auf den Ergebnissen unserer Forschung empfehlen wir dringend, mehrere Erkennungsmethoden zu implementieren und einen risikobasierten Ansatz zu verfolgen, um festzustellen, ob ein mit einem Host verbundenes IP-KVM-Gerät böswillig verwendet wird.
Anhang: Weiterführende Informationen
- Exposing DPRK's Cyber Syndicate and Hidden IT Workforce - DTEX - May 2025
- Fake Engineer - Advanced Deepfake Fraud and How to Detect It - Vidoc Security - March 2025
- Zwei nordkoreanische Staatsangehörige und drei Helfer angeklagt wegen mehrjährigen betrügerischen Remote-Informationstechnologie-Arbeitersystems, das Einnahmen für die Demokratische Volksrepublik Korea generierte - US-Justizministerium - Januar 2025
- Vierzehn nordkoreanische Staatsangehörige angeklagt, weil sie ein mehrjähriges betrügerisches Informationstechnologie-Arbeitsprogramm und damit verbundene Erpressungen durchgeführt haben - US Department of Justice - Dezember 2024
- Advisory on North Korean IT Workers - Office of Financial Sanctions Implementation, HM Treasury - September 2024
- Justizministerium zerschlägt Betrugssysteme nordkoreanischer Remote-IT-Arbeiter durch Anklagen und Verhaftung eines Vermittlers in Nashville - US Department of Justice - August 2024
- Wir haben nordkoreanische Ingenieure in unserem Anwendungsstapel gefunden. Das haben unsere Ex-CIA-Gründer dagegen unternommen – Cinder-Blog – August 2024
- Wie ein nordkoreanischer gefälschter IT-Mitarbeiter versuchte, uns zu infiltrieren - KnowBe4 Sicherheitsbewusstsein-Training - Juli 2024
- Die nordkoreanischen IT-Arbeiter (Podcast) - Mandiant - Juli 2024
- Anklagen und Beschlagnahmungen im Zusammenhang mit einem Betrugsprogramm, das darauf abzielt, Einnahmen für mit Nordkorea verbundene Arbeiter zu verweigern - US-Justizministerium - Mai 2024
- Alert Number: I-101823-PSA - US Federal Bureau of Investigation - Oktober 2023
- Justice Department Announces Court-Authorized Action to Disrupt Illicit Revenue Generation Efforts of Democratic People’s Republic of Korea Informationstechnologie-Arbeitnehmer - US Department of Justice - October 2023
- Treasury Targets DPRK Malicious Cyber and Illicit IT Worker Activities - May 2023 - US Department of the Treasury
- Advisory on the Democratic People’s Republic of Korea Information Technologie Workers - Republic of Korea - Ministry of Foreign Affairs -February 2023
- Leitfaden für Informationstechnologie-Mitarbeiter aus der DVRK - US-Finanzministerium - Mai 2022
Ein Hinweis zur Schätzungssprache
Die Okta Threat Intelligence-Teams verwenden die folgenden Begriffe, um Wahrscheinlichkeit oder Wahrscheinlichkeit auszudrücken, wie im US Office of the Director of National Intelligence Community Directive 203 - Analytic Standards dargelegt.
| Wahrscheinlichkeit | Fast keine Chance | Sehr unwahrscheinlich | Unwahrscheinlich | Ungefähr gleich hohe Wahrscheinlichkeit | Wahrscheinlich | Sehr wahrscheinlich | Fast sicher |
|---|---|---|---|---|---|---|---|
| Wahrscheinlichkeit | Remote | Höchst unwahrscheinlich | Unwahrscheinlich | Ungefähr gleiche Chancen | Wahrscheinlich | Sehr Wahrscheinlich | Nahezu sicher |
| Prozentsatz | 1-5% | 5-20% | 20-45% | 45-55% | 55-80% | 80-95% | 95-99% |
