סגור
באנר דסקטופ כלכליסט טק
מקור משמאל AI מימין הונאת דמויות
"קייל", שהצליח לחדור ל-KnowBe4. מימין: התמונה שהכין באמצעות AI, משמאל: תמונת הסטוק עליה ככל הנראה התבסס (צילום: KnowBe4)

כך מערימים מרגלים צפון קוריאנים על חברות מערביות באמצעות AI וזוכים במשרות נחשקות

לפי דוח של גוגל קלאוד, אנשי טכנולוגיה במדינה המוחרמת משתמשים ב-AI ליצירת זהות בדויה וכך מצליחים להתקבל למשרות, כששכרם מזרים לצפון קוריאה מאות מיליוני דולרים. המרגלים מנסים להחדיר תוכנות ריגול ושליטה מרחוק למערכות החברות. בין החברות אליהן ניסו להתקבל המתחזים: רשת טלוויזיה גדולה, חברת טכנולוגיה מעמק הסיליקון, יצרנית רכב ועוד

אנשי טכנולוגיה מקוריאה הצפונית ממנפים יכולות בינה מלאכותית גנרטיבית (GenAI) ואת המעבר של ארגונים לעבודה מרחוק על מנת לקבל משרות בחברות מערביות תחת זהות בדויה או גנובה – כך מגלה דוח חדש בחטיבת איומי הסייבר של גוגל קלאוד, Mandiant.
לפי הדוח, שממצאיו נחשפו בוול סטריט ג'ורנל, מאות, ואולי אפילו אלפי צפון קוריאנים הצליחו להערים על חברות ולקבל משרות, תוך שהשכר שהם מקבלים מזרים מאות מיליוני דולרים למדינה המבודדת והענייה. זאת, תוך מעקף של סנקציות בינלאומיות שנועדו להגביל את יכולות פיתוח הנשק שלה.
בין החברות שהמועמדים המתחזים ניסו להתקבל לעבודה בהן נמנות רשת טלוויזיה גדולה, חברת טכנולוגיה מעמק הסיליקון, חברת אירוספייס, יצרנית רכב אמריקאית, רשת מוצרי יוקרה, חברת מדיה ובידור ובשלושה מקרים כושלים סוכנויות ממשל פדרליות. "נדהמנו מהשכיחות של המזימה הצפון קוריאנית הזו", אמר לוול סטריט ג'ורנל אנליסט Mandiant, מייקל ברנהארט. "ברגע שהתחלנו לקלף את שכבות הבצל, הבנו שעובדי ה-IT האלו נמצאים בכל מקום".
במקרה אחד, חברת הגנת סייבר מפלורידה בשם KnowBe4 שכרה מועמד בשם "קייל", שדיבר אנגלית עם מבטא וטען שהוא מתגורר בוושינגטון. לדברי מנכ"ל החברה, סטו סג'וורמן, קייל נשכר אחרי שאתרי גיוס עובדים זיהו אותו כבעל מיומנות בשפת התכנות שדרושה למשרת IT פנים-ארגונית.
בריאיון זום, התרשם המנכ"ל מ"קייל" כמועמד להוט וישר. "הוא היה פתוח לגבי החוזקות והחולשות שלו, הדברים שהוא עדיין צריך ללמוד ונתיב הקריירה שלו", הוא סיפר לוול סטריט ג'ורנל. "הבחור היה מרואיין מקצועי, שבטח עשה את זה מאה פעמים". לעמוד הלינקדאין שלו העלה "קייל" תמונת AI שהתבססה על תמונה ממאגר תמונות סטוק.
לא עבר זמן עד שחשדות KnowBe4 לגבי העובד החדש התעוררו: כבר ביום הראשון לעבודה הוא ניסה להחדיר רוגלה למערכות החברה, וזו זוהתה מיד על ידי מערך הניטור שלה. בחברה הסיקו שמדובר במתחזה, ודיווחו ל-FBI. הסוכנות הצליחה לאתר מקום מגורים בוושינגטון שם שכן מתווך שסייע לתפעול מבצע ההונאה. המתחזה ביקש מהחברה לשלוח את המחשב הנייד שלו לכתובת זו, ושם התקין המתווך על המחשב תוכנה שאפשרה לעובדים המתחזים להתחבר אליו מרחוק, וכך לעבוד ולגשת למערכות החברה תוך יצירת הרושם שהם פועלים מארה"ב.
לדברי Cinder, סטארט-אפ שכל עובדיו מועסקים מרחוק, מאז תחילת 2023 החלה החברה לקבל עשרות מועמדויות פיקטיביות למשרות שפרסמה, כאשר כ-80% מהמועמדויות מאתרים מסוימים יכולות להיות תחת זהות בדויה או גנובה של גורמים מקוריאה הצפונית.
"התחלנו לחשוד כשמועמדים עלו לריאיונות זום ולא נראו בדיוק כמו התמונה בפרופיל הלינקדאין שלהם", אמר לוול סטריט ג'ורנל ראש ההנדסה ב-Cinder, דקלן קאמינגס, שדובר קוריאנית שוטפת ועבד בעבר עם עריקים מקוריאה הצפונית. "לפעמים הם דיברו במבטא כבד. לפעמים הם כתבו בקורות החיים שהועסקו בעבר במשרדים של פייסבוק במדינות שבהן אני יודע שאין לחברה משרדים. חיפוש מקוון של שמם לא הניב הרבה מידע אישי".
בריאיון עבודה משעשע במיוחד, קאמינגס ציין שמייסדי החברה עבדו בעבר ב-CIA. המועמד, בתגובה, ירד מהשיחה ועקבותיו נעלמו. "מכל החברות שהאנשים האלו בוחרים להגיש להן מועמדות, הם עושים זאת בחברה שמנוהלת על ידי יוצאי CIA ומומחה לקוריאה הצפונית. אני לא חושב שהתמקדו בנו באופן מיוחד, אבל אנחנו מודעים לזה במיוחד".
לפני כחודש, תובעים פדרליים הגישו כתב אישום נגד מתיו נוט, בן 38 מטנסי, שלדבריהם קיבל תשלום חודשי מקוריאה הצפונית על מנת לקבל ולהתקין תוכנות גישה מרחוק על מחשבי עבודה שנשלחו לעובדי IT מתחזים מהמדינה. לפי כתב האישום, המפעיל של נוט, יאנג די, הבטיח לו תשלום של 500 דולר לכל מחשב שהשמיש, בתוספת עמלה בסך 20% מהשכר שיקבל העובד המתחזה. בפועל, קיבל נוט 15.1 אלף דולר בלבד לאורך 13 חודשים.
בסיועו של נוט הצליחו הצפון קוריאנים להונות כמה חברות מדיה אמריקאיות, חברת טכנולוגיה מפורטלנד ומוסד פיננסי בריטי, כאשר כל חברה שילמה לעובדים המתחזים שכר של 250 אלף דולר או יותר בין 2022 ל-2023. בכמה מקרים, העובדים המתחזים אפילו סיפקו שירותי IT לחברות ששכרו אותם, ואולם לרוב הם ניצלו את הגישה לרשת הפנימית של החברה על מנת לגנוב קניין רוחני או לבצע מתקפת סייבר.
מוקדם יותר השנה, Mandiant שיתפה עם חברות סייבר רשימה של כ-800 כתובת אימייל שלפי החשד שימשו את המתחזים מקוריאה הצפונית. ממענה החברות, התברר שכ-10% מהן שימשו להגשת מועמדות למשרות בין פברואר לאוגוסט השנה, והמועמדים הצליחו להשיג 236 ראיונות עבודה. לפחות חמש מועמדיות הוגשו לארגונים הקשורים לתשתיות קריטיות בארה"ב ובמדינות אחרות.