Nordkoreanske hackere er for første gang filmet live, mens de forsøger at overtage en amerikansk udviklers digitale liv - inklusive pas, LinkedIn, Gmail og fuld adgang til arbejdscomputeren døgnet rundt.
Bag operationen står sikkerhedsfirmaerne BCA, Northscan og Any.run, der opsatte en fælde for de nordkoreanske udviklere.
Og de nordkoreanske udviklere hoppede lige i fælden. Nu kaster firmaerne lys på, hvordan selveste den statslige hackergruppe Lazarus gebærder sig med at erhverve naive, vestlige udviklere, hvis identitet bliver stjålet og misbrugt.
I centrum for operationen stod “Blaze” - en digital rekrutteringsagent for den berygtede Chollima-division under Lazarus-gruppen, skriver Hacker News.
Med et falsk jobtilbud forsøgte “Blaze” at hverve en amerikansk udvikler til at stille sin identitet og sin laptop til rådighed. Hvad han ikke vidste var, at hele setup’et var en vaskeægte fælde.
Nordkoreanerne troede, at de havde adgang til en rigtig udviklers maskine, men det var i en virkelig en virtuel sandkasse.
Røg og spejle
Any.run’s sandkasse lignede til forveksling en almindelig arbejdscomputer. I virkeligheden var det et fuldt kontrolleret “laptop farm”-setup, hvor hver bevægelse blev optaget og analyseret.
Inde i maskinen udfoldede operationen sig præcist som mistænkt: Synkronisering af Chrome-profiler, adgang til AI-værktøjer som Final Round AI, såkaldte browser-baserede OTP-generatorer og installation af Google Remote Desktop med fast PIN via PowerShell.
De nordkoreanske svindlere efterlod endda en Notepad-besked, hvor de bad om offerets ID, sociale medier og bankinfo. Det er identitetstyveri og foregår uden brug af malware, Mauro Edritch, der er en af idémændene til fælden.
I en tid, hvor remote arbejde er normen, er det ifølge eksperterne den perfekte angrebsflade.
Dømt for uvidenhed
Mønstret ligner det, amerikanske myndigheder allerede har afdækket i sagen om TikTok-influenceren Christina Chapman. Hun blev i februar i år dømt for at have stillet sit hjem til rådighed for over 90 internetforbundne laptops, der blev styret af nordkoreanere.
Chapman, der troede, hun arbejdede for et globalt rekrutteringsfirma, hjalp uforvarende Lazarus-gruppen med at indhente 17,1 millioner dollar fra over 300 amerikanske virksomheder.
Hendes tilfælde var ikke enestående. Ifølge Wall Street Journal har Nordkorea i dusinvis af tilfælde fået fodfæste i amerikanske virksomheder via såkaldte laptop farms, hvor lokale borgere stiller hus og identitet til rådighed.
