微軟揭露北韓遠端IT工作者滲透全球企業的手法

長期遭到聯合國與美國制裁的北韓，積極利用各種手段創造外匯收入。除了透過國家級駭客進行網路攻擊籌資外，北韓政府也派遣具備IT專長的國民，偽裝成遠端工作者滲透各國企業，為政權賺取外匯。微軟將此一現象稱為Jasper Sleet活動，並於本周一（6/30）揭露北韓IT工作者不斷演進的滲透策略，包括運用AI技術以提高滲透成功率。

北韓IT人員大多有兩種任務，一種是替北韓政府賺取外匯，二是藉機滲透至國外企業並竊取機密資訊或技術資產。

這些位於北韓的IT人員通常有深厚的技術背景，他們創立虛假的身分檔案，也會在LinkedIn及GitHub建立專業檔案，主動投遞求職申請；在面試時，他們會透過VPN偽裝IP位置，透過變聲軟體改變聲音，並謊稱技術問題以關閉攝影機；若被錄取，有許多時候就需要由美國的「協助者」來提供居住地址，接收公司寄送的工作筆電，提供銀行帳戶，購買當地電話號碼，同時設置筆電農場（Laptop Farm）及遠端連線。

工作時就由北韓IT工作者遠端連接至美國境內的筆電進行操作，以完成專案任務及日常職責，也能透過公司的通訊系統與同事互動。此外，他們主要藏身於北韓、中國及俄羅斯，在這3個據點工作。

微軟指出，北韓的IT工作者申請了全球企業的遠端工具，但以美國職缺最為熱門，自2020年到2022年間，至少有超過300家美國企業受害，其中有數家名列財星500強（Fortune 500），還有兩家美國政府機構也被滲透。

而美國司法部也在同一天宣布打擊Jasper Sleet活動的相關行動，包括在16個州沒收了29個金融帳戶，21個詐欺網站，以及200臺電腦。

司法部指出，北韓IT工作者的行為得到了來自美國、中國、阿拉伯聯合大公國及臺灣人的協助，在2021年到2024年10月間，利用逾80名美國人的身分以協助這些北韓人於超過100家美國公司獲得遠端工作，其中有一名任職於亞特蘭大區塊鏈公司的北韓員工，趁機盜走了價值90萬美元的加密貨幣。

還有兩名北韓IT工作者在2018到2024年間，成功滲透了至少64家美國企業，且光是從其中10家就賺進了約87萬美元。

另一方面，微軟也發現這些北韓IT工作者亦開始利用AI技術來強化滲透，例如使用AI工具來替換被盜身分文件中的照片；或是改善IT工作者的照片，讓他們看起來更專業；也會使用變聲軟體來改變聲音；或是藉由AI變臉工具Faceswap來偽造身分。

微軟提供了Jasper Sleet活動的防禦策略，包括確認員工具備真實的數位足跡，確保在多次視訊通話中看到候選人，要求公證的身分證明，也應監控可疑的IP位址切換，檢查未經授權的遠端桌面軟體（RMM）安裝，監控公共VPN的使用，以及識別在非正常工作時間的活動等。

事實上，微軟已經暫停了3,000個已知的北韓IT工作者的帳戶，包括Outlook與Hotmail，也特別為此開發了客製化的機器學習解決方案，並透過Microsoft Defender XDR整合式資安平臺來偵測可疑的活動。