Noord-Koreaanse hackers infiltreren steeds vaker in Westerse bedrijven. Ze doen zich voor als legitieme werknemers om binnen te breken en met bedrijfsgeheimen aan de haal te gaan.
Let goed op voor wie je bedrijf aanneemt. In 2024 verdrievoudigde het aantal gevallen waarbij Noord-Koreaanse hackers via infiltratie organisaties binnendringen door zich voor te doen als doodgewone werknemers. Dat blijkt uit een rapport van Unit 42, de onderzoeksgroep van Palo Alto Networks.
Unit 42 onderzocht 500 cybersecurity-incidenten wereldwijd tussen oktober 2023 en december 2024. Uit die analyse blijkt dat Noord-Koreaanse hackers steeds vaker gebruikmaken van zogenaamde ‘insider threats’. In 2024 was 5 procent van alle incidenten wereldwijd toe te schrijven aan dit soort infiltraties. Hackers plaatsen opzettelijk medewerkers in organisaties om toegang te krijgen tot gevoelige informatie of financiële middelen.
Valse identiteit
De hackers solliciteren op vacatures als waren ze gewone werkzoekenden. Om detectie te vermijden, bouwen de infiltranten geloofwaardige valse identiteiten op, met hulp van AI-middelen om realistisch uitziende profielfoto’s te maken. In sommige gevallen beschikken ze zelfs over echte werkervaring, wat hun profiel extra geloofwaardig maakt.
Technologische bedrijven zijn het geprefereerde doelwit van de Noord-Koreanen, maar ook sectoren zoals retail en logistiek worden geviseerd. Door de krapte op de arbeidsmarkt verlopen screenings van potentiële werknemers minder streng, concluderen de onderzoekers. Omdat de aanvallers intern opereren, vermijden ze klassieke beveiligingsmechanismen die externe aanvallen tegengaan eens ze zijn binnengeraakt bij het bedrijf.
Solliciteren op malware
Het kan ook in de andere richting verlopen. Naast infiltraties ontdekte Palo Alto Networks ook nieuwe malware bedoeld voor macOS-systemen. Deze malware, die de naam RustDoor kreeg, wordt verspreid via valse sollicitatiegesprekken. Noord-Koreaanse hackers doen zich bij deze werkwijze voor als werkgevers in de technologiesector en proberen tijdens het gesprek de malware te installeren. Die stelt hen in staat om onder meer wachtwoorden buit te maken.
In 2023 stootten de onderzoekers van Palo Alto al op een gelijkaardige campagne. Daarbij deden Noord-Koreanen zich voor als recruiters om toegang te krijgen tot systemen van IT-professionals. Volgens de onderzoekers zullen bedrijven hun procedures rond aanwervingen en toegangsbeheer moeten herzien om dit soort aanvallen te detecteren en vermijden.