Кто-то копит на квартиру, а ваш «сеньор» – на ракету. $600 миллионов из зарплат улетают прямиком в КНДР

Долгие годы под «инсайдерской угрозой» в компаниях понимали недовольного сотрудника или неосторожного подрядчика. Службы безопасности выстраивали защиту вокруг DLP-систем и внимательно следили за подозрительными всплесками передачи данных наружу. Но эта картина стремительно устаревает.

Сегодня самый опасный инсайдер вовсе не тот, кто внезапно решил навредить работодателю. Речь идет о человеке, которого изначально наняли под чужим именем и с иными целями. Его задача не конфликт с руководством, а системная кража денег, вынос интеллектуальной собственности и закладка бэкдоров в интересах государства. Именно так, по оценкам экспертов ООН и ФБР, работает программа северокорейских «удаленных сотрудников», ежегодно приносящая режиму КНДР до 600 млн долларов.

Рост удаленной работы превратил процесс найма в уязвимость. Министерство юстиции США и ФБР уже выпустили экстренные предупреждения о фальшивых IT-специалистах из Северной Кореи. Эти люди используют сложные схемы кражи личности, чтобы устраиваться на хорошо оплачиваемые удаленные позиции в западных компаниях. Формально они проходят все проверки, но на практике становятся инструментом для финансирования запрещенных оружейных программ, получения доступа к исходному коду и незаметного закрепления внутри корпоративной инфраструктуры.

Специалисты Silent Push выделяют два основных сценария такого проникновения. В первом случае «сотрудник» действительно работает месяцами, а иногда и дольше, не запуская вредоносное ПО. Он получает зарплату, осваивается в системах и постепенно выстраивает устойчивый доступ. Во втором варианте режим создает подставные IT-компании, которые внешне выглядят как легальный бизнес.

Через собеседования и тестовые задания жертв подталкивают к запуску вредоносного кода, превращая обычный процесс найма в полноценную атаку на всю организацию. Дополнительный риск в том, что соискатели нередко ищут новую работу с корпоративных устройств и тем самым могут заразить систему своего текущего работодателя.

Проблема усугубляется тем, что классические механизмы проверки личности перестают работать. Если кандидат предоставляет действующий номер социального страхования, успешно проходит фоновую проверку и видеоинтервью, даже с учетом фильтров против дипфейков, он без проблем попадает внутрь компании. В журналах событий такой человек выглядит как обычный локальный сотрудник, а его подключения идут с домашних IP-адресов западных провайдеров, создавая иллюзию работы из пригорода.

Опора на геолокацию IP-адресов тоже больше не дает гарантии. Северокорейские операторы активно меняют VPN и прокси, используя многоуровневые цепочки маршрутизации. Трафик может проходить через физический ноутбук, находящийся в США, что полностью обходит простое геофильтрование. Для SIEM-систем такое соединение ничем не отличается от подключения рядового удаленного работника.

В результате у компаний образуются опасные слепые зоны. Трафик кажется надежным, потому что идет от обычного интернет-провайдера, а не из дата-центра. Проверки подтверждают подлинность украденной личности, но не реального человека за клавиатурой. Использование настоящих ноутбуков позволяет обходить проверки оборудования, включая MAC-адреса и оценку состояния устройства.

Выявление такого «плохого найма» обходится крайне дорого. Дело не ограничивается увольнением. Компания рискует нарушить санкционные требования OFAC, непреднамеренно финансируя режим КНДР. К моменту обнаружения злоумышленника конфиденциальный код или данные клиентов зачастую уже украдены. А ликвидация оставленных бэкдоров требует полного аудита инфраструктуры и серьезно выматывает команды реагирования на инциденты.

История наглядно показывает, что понятие инсайдерской угрозы изменилось. В эпоху удаленной работы граница между сотрудником и противником может быть куда тоньше, чем кажется на этапе собеседования.