近年來，與朝鮮黑客有關(guān)的網(wǎng)絡(luò)犯罪活動(dòng)不斷升級(jí)，其獨(dú)創(chuàng)的“IT就業(yè)計(jì)劃”成為國(guó)際社會(huì)關(guān)注的焦點(diǎn)。

根據(jù)網(wǎng)絡(luò)安全公司SentinelOne和Palo Alto Networks Unit 42的研究，朝鮮黑客利用虛假身份和前線（空殼）公司，大規(guī)模滲透全球技術(shù)行業(yè)以獲取資金，支持朝鮮的武器研發(fā)及核導(dǎo)彈項(xiàng)目。這種活動(dòng)不僅涉及偽造身份獲取工作，還通過復(fù)雜的技術(shù)攻擊擴(kuò)大其威脅范圍。

朝鮮“IT就業(yè)計(jì)劃”的全貌

朝鮮黑客組織通過全球范圍的“筆記本農(nóng)場(chǎng)”（由目標(biāo)企業(yè)所在國(guó)家的公民運(yùn)營(yíng)的遠(yuǎn)程辦公環(huán)境）計(jì)劃，組織大量IT人員以個(gè)體身份或通過偽裝的公司獲取技術(shù)行業(yè)的遠(yuǎn)程辦公就業(yè)機(jī)會(huì)。這些人員通過在線支付平臺(tái)或第三國(guó)銀行賬戶，將絕大部分收入返回朝鮮，為其核武器和導(dǎo)彈項(xiàng)目提供資金支持。其主要運(yùn)作模式如下：

1.虛假前線公司：朝鮮黑客利用俄羅斯、東南亞等地的公司掩蓋其身份，偽裝成“外包開發(fā)”或“技術(shù)咨詢”公司。

2.偽造網(wǎng)站：研究發(fā)現(xiàn)，這些前線公司的網(wǎng)站通常直接復(fù)制合法公司的內(nèi)容和設(shè)計(jì)。

• Independent Lab LLC仿制美國(guó)公司Kitrum
• Shenyang Tonywang Technology LTD仿制Urolime
• Tony WKJ LLC仿制印度的ArohaTech IT Services
• HopanaTech仿制ITechArt

這些前線公司通過知名域名注冊(cè)商N(yùn)ameCheap注冊(cè)，并冒充技術(shù)服務(wù)商獲取合同。（這些虛假網(wǎng)站已在2024年10月被美國(guó)政府查封）

滲透美國(guó)企業(yè)的案例

• 打入KnowBe4

朝鮮黑客出海最知名的案例莫過于成功打入了知名美國(guó)網(wǎng)絡(luò)安全公司KnowBe4。朝鮮黑客利用“筆記本農(nóng)場(chǎng)”計(jì)劃成功通過了KnowBe4的多輪面試。此類出海黑客不僅通過偽造的身份獲取該公司的外包工作，還竊取了內(nèi)部憑證以申請(qǐng)更多高價(jià)值職位。這也標(biāo)志著朝鮮威脅組織的戰(zhàn)略轉(zhuǎn)變：從單純的收入獲取，逐步轉(zhuǎn)向更具破壞性的內(nèi)鬼威脅和惡意軟件攻擊。

• Wagemole計(jì)劃與Contagious Interview

Unit 42的報(bào)告顯示，朝鮮的一組活動(dòng)集群（代號(hào)CL-STA-0237）結(jié)合釣魚攻擊和惡意視頻會(huì)議應(yīng)用程序傳播BeaverTail惡意軟件。這一行為表明，朝鮮威脅組織正在將偽裝的IT工作者轉(zhuǎn)變?yōu)楦みM(jìn)的攻擊角色，其主要攻擊方式如下：

• 攻擊路徑：通過冒充IT公司發(fā)送求職郵件，使用被感染的面試工具部署惡意軟件。
• 混入企業(yè)：研究發(fā)現(xiàn)，該集群通過偽裝成為一家美國(guó)中小型IT服務(wù)公司的員工，進(jìn)而成功申請(qǐng)大型技術(shù)企業(yè)的職位，擴(kuò)大其影響力。

朝鮮“黑客出?！惫籼攸c(diǎn)

Sentinal在報(bào)告中指出，朝鮮的這一戰(zhàn)略不僅為其武器研發(fā)項(xiàng)目提供了穩(wěn)定的資金來源，還對(duì)全球網(wǎng)絡(luò)安全構(gòu)成重大威脅。以下是朝鮮網(wǎng)絡(luò)攻擊行為的幾大特點(diǎn)：

1.高度組織化

• 偽造身份：通過制作虛假的護(hù)照和學(xué)歷證明，偽裝成受過高等教育的IT專業(yè)人士。
• 利用全球化漏洞：從中國(guó)到東南亞，這些黑客通過復(fù)雜的前線網(wǎng)絡(luò)隱藏其實(shí)際來源。

2.逐步擴(kuò)展的攻擊目標(biāo)

• 初期目標(biāo)：以低門檻的外包工作獲取收入。
• 擴(kuò)展目標(biāo)：通過竊取內(nèi)部憑證，參與數(shù)據(jù)竊取、惡意軟件分發(fā)和供應(yīng)鏈攻擊。

3.協(xié)同發(fā)展

• 跨國(guó)合作：利用他國(guó)公司掩護(hù)，規(guī)避國(guó)際制裁。
• 與其他威脅集群聯(lián)動(dòng)：如Contagious Interview集群，擴(kuò)展了傳統(tǒng)釣魚攻擊的深度。

如何防御“黑客出?！保?/h4>

鑒于黑客出海務(wù)工行為的復(fù)雜性和隱蔽性，企業(yè)需加強(qiáng)以下防御措施：

1.嚴(yán)格的身份驗(yàn)證

• 在招聘流程中對(duì)候選人的背景和身份進(jìn)行更嚴(yán)格的審查，驗(yàn)證其身份真實(shí)性。
• 引入先進(jìn)的自動(dòng)化工具以交叉檢查簡(jiǎn)歷信息的可信度。

2.強(qiáng)化供應(yīng)鏈安全

• 對(duì)所有外包合作伙伴進(jìn)行風(fēng)險(xiǎn)評(píng)估，確保其合規(guī)性。
• 監(jiān)控供應(yīng)鏈中的異常行為，避免被惡意行為者利用。

3.多層次威脅檢測(cè)

• 實(shí)施先進(jìn)的威脅情報(bào)系統(tǒng)，實(shí)時(shí)檢測(cè)可疑的網(wǎng)絡(luò)活動(dòng)。
• 對(duì)內(nèi)部憑證和訪問權(quán)限進(jìn)行定期審查，防止被濫用。

4.提高員工意識(shí)

• 針對(duì)潛在釣魚攻擊和偽造身份行為，對(duì)員工開展培訓(xùn)。
• 定期更新安全策略，以應(yīng)對(duì)不斷變化的威脅。

總結(jié)：“黑客出?！辈皇浅r的專利

通過“筆記本農(nóng)場(chǎng)”計(jì)劃，朝鮮黑客組織將網(wǎng)絡(luò)攻擊與經(jīng)濟(jì)滲透相結(jié)合，展現(xiàn)出高度的適應(yīng)性和創(chuàng)新性。從冒充IT工作者到惡意軟件攻擊，其目標(biāo)從簡(jiǎn)單的資金獲取擴(kuò)大到企業(yè)供應(yīng)鏈安全和國(guó)家基礎(chǔ)設(shè)施。

最后，“黑客出海”的威脅絕不僅僅是朝鮮的“專利”，任何黑客組織都可能模仿朝鮮黑客滲透對(duì)手國(guó)家的重要企業(yè)和項(xiàng)目，企業(yè)和政府需要重視并加強(qiáng)對(duì)該威脅的防御措施。