近年來，與朝鮮黑客有關的網(wǎng)絡犯罪活動不斷升級，其獨創(chuàng)的“IT就業(yè)計劃”成為國際社會關注的焦點。

根據(jù)網(wǎng)絡安全公司SentinelOne和Palo Alto Networks Unit 42的研究，朝鮮黑客利用虛假身份和前線（空殼）公司，大規(guī)模滲透全球技術行業(yè)以獲取資金，支持朝鮮的武器研發(fā)及核導彈項目。這種活動不僅涉及偽造身份獲取工作，還通過復雜的技術攻擊擴大其威脅范圍。

朝鮮“IT就業(yè)計劃”的全貌

朝鮮黑客組織通過全球范圍的“筆記本農(nóng)場”（由目標企業(yè)所在國家的公民運營的遠程辦公環(huán)境）計劃，組織大量IT人員以個體身份或通過偽裝的公司獲取技術行業(yè)的遠程辦公就業(yè)機會。這些人員通過在線支付平臺或第三國銀行賬戶，將絕大部分收入返回朝鮮，為其核武器和導彈項目提供資金支持。其主要運作模式如下：

1.虛假前線公司：朝鮮黑客利用俄羅斯、東南亞等地的公司掩蓋其身份，偽裝成“外包開發(fā)”或“技術咨詢”公司。

2.偽造網(wǎng)站：研究發(fā)現(xiàn)，這些前線公司的網(wǎng)站通常直接復制合法公司的內(nèi)容和設計。

• Independent Lab LLC仿制美國公司Kitrum
• Shenyang Tonywang Technology LTD仿制Urolime
• Tony WKJ LLC仿制印度的ArohaTech IT Services
• HopanaTech仿制ITechArt

這些前線公司通過知名域名注冊商NameCheap注冊，并冒充技術服務商獲取合同。（這些虛假網(wǎng)站已在2024年10月被美國政府查封）

滲透美國企業(yè)的案例

• 打入KnowBe4

朝鮮黑客出海最知名的案例莫過于成功打入了知名美國網(wǎng)絡安全公司KnowBe4。朝鮮黑客利用“筆記本農(nóng)場”計劃成功通過了KnowBe4的多輪面試。此類出海黑客不僅通過偽造的身份獲取該公司的外包工作，還竊取了內(nèi)部憑證以申請更多高價值職位。這也標志著朝鮮威脅組織的戰(zhàn)略轉變：從單純的收入獲取，逐步轉向更具破壞性的內(nèi)鬼威脅和惡意軟件攻擊。

• Wagemole計劃與Contagious Interview

Unit 42的報告顯示，朝鮮的一組活動集群（代號CL-STA-0237）結合釣魚攻擊和惡意視頻會議應用程序傳播BeaverTail惡意軟件。這一行為表明，朝鮮威脅組織正在將偽裝的IT工作者轉變?yōu)楦みM的攻擊角色，其主要攻擊方式如下：

• 攻擊路徑：通過冒充IT公司發(fā)送求職郵件，使用被感染的面試工具部署惡意軟件。
• 混入企業(yè)：研究發(fā)現(xiàn)，該集群通過偽裝成為一家美國中小型IT服務公司的員工，進而成功申請大型技術企業(yè)的職位，擴大其影響力。

朝鮮“黑客出?！惫籼攸c

Sentinal在報告中指出，朝鮮的這一戰(zhàn)略不僅為其武器研發(fā)項目提供了穩(wěn)定的資金來源，還對全球網(wǎng)絡安全構成重大威脅。以下是朝鮮網(wǎng)絡攻擊行為的幾大特點：

1.高度組織化

• 偽造身份：通過制作虛假的護照和學歷證明，偽裝成受過高等教育的IT專業(yè)人士。
• 利用全球化漏洞：從中國到東南亞，這些黑客通過復雜的前線網(wǎng)絡隱藏其實際來源。

2.逐步擴展的攻擊目標

• 初期目標：以低門檻的外包工作獲取收入。
• 擴展目標：通過竊取內(nèi)部憑證，參與數(shù)據(jù)竊取、惡意軟件分發(fā)和供應鏈攻擊。

3.協(xié)同發(fā)展

• 跨國合作：利用他國公司掩護，規(guī)避國際制裁。
• 與其他威脅集群聯(lián)動：如Contagious Interview集群，擴展了傳統(tǒng)釣魚攻擊的深度。

如何防御“黑客出海”？

鑒于黑客出海務工行為的復雜性和隱蔽性，企業(yè)需加強以下防御措施：

1.嚴格的身份驗證

• 在招聘流程中對候選人的背景和身份進行更嚴格的審查，驗證其身份真實性。
• 引入先進的自動化工具以交叉檢查簡歷信息的可信度。

2.強化供應鏈安全

• 對所有外包合作伙伴進行風險評估，確保其合規(guī)性。
• 監(jiān)控供應鏈中的異常行為，避免被惡意行為者利用。

3.多層次威脅檢測

• 實施先進的威脅情報系統(tǒng)，實時檢測可疑的網(wǎng)絡活動。
• 對內(nèi)部憑證和訪問權限進行定期審查，防止被濫用。

4.提高員工意識

• 針對潛在釣魚攻擊和偽造身份行為，對員工開展培訓。
• 定期更新安全策略，以應對不斷變化的威脅。

總結：“黑客出?！辈皇浅r的專利

通過“筆記本農(nóng)場”計劃，朝鮮黑客組織將網(wǎng)絡攻擊與經(jīng)濟滲透相結合，展現(xiàn)出高度的適應性和創(chuàng)新性。從冒充IT工作者到惡意軟件攻擊，其目標從簡單的資金獲取擴大到企業(yè)供應鏈安全和國家基礎設施。

最后，“黑客出?！钡耐{絕不僅僅是朝鮮的“專利”，任何黑客組織都可能模仿朝鮮黑客滲透對手國家的重要企業(yè)和項目，企業(yè)和政府需要重視并加強對該威脅的防御措施。