その仕事の提案は悪用される可能性があります。
これは、朝鮮民主主義人民共和国(DPRK)の国家支援者による執拗かつ広範なサイバースパイ活動が近年実施されていることが大きな理由であり、今日のサイバー脅威環境の現実です。正当な雇用が初期アクセスベクトルとなっています。
「IT労働者キャンペーン」と呼ばれることが多いこれらの作戦は、セキュリティコミュニティが従来は異なると考えていた動機(金銭的利益と企業スパイ活動)を、単一の金銭獲得・情報盗難産業に融合させました。
このキャンペーンはまた、サイバーセキュリティを単一部門の責任ではなく、総合的な企業リスク管理慣行として扱うことの重要性を強調しています。
北朝鮮の収益創出型サイバー戦略
北朝鮮のAPTは、中国とロシアの同業者と異なり、サイバーキャンペーンから即座の金銭的リターンを生み出す必要があります。厳しい制裁を受けた孤立主義国家として、隠者の王国は大量破壊兵器と弾道ミサイル開発を含む戦略的プログラムに資金を供給するために、洗練された違法な収入創出活動に依存しています。
歴史的には北朝鮮のサイバー活動は暗号資産と銀行窃盗のようなより伝統的なサイバー犯罪に焦点を当てていましたが、IT労働者キャンペーンは計算された進化を表しています。単純にワンオフの侵害を通じて資金を盗むのではなく、これらのオペレータは多数の業界に参入している標的組織内での長期的な正当な雇用を求めています。
一度雇用されると、DPRK APTはデータ盗難と恐喝に従事するだけでなく、給与を北朝鮮政府にルーティングしています。最新の進化では、これらのキャンペーンは通常以下によって定義されています:
1. 大量の求人応募:初歩的なフィッシングキャンペーンで一般的な「スプレー・アンド・プレイ」戦術を採用することで、DPRK ATPは多くの応募を提出し、しばしば汎用テンプレートとAI生成素材を使用して、役割を確保する確率を最大化します。
2. 多様な標的職務:「IT労働者キャンペーン」と呼ばれることが多いが、これらのスキームは、ソフトウェア開発者、セキュリティ研究者、支払処理者、簿記職員を含む多くの技術職に範囲を広げており、場合によっては技術的アクセスと直接的な金銭管理の両方を提供します。
3. 追加の恐喝と知的財産盗難:初期の目標は長期雇用を通じた収益創出ですが、キャンペーンは最近、データ流出、恐喝、知的財産盗難などのより伝統的な悪意のある活動への転換を示しており、AI分野など北朝鮮のR&D努力を推し進めており、すべての技術は「従業員」ステータスを達成した後、より壊滅的に効果的になる可能性があります。
ラップトップファームと地理的位置偽装
防御者にとっての主な課題は、オペレータの真の位置を隠すために設計されたキャンペーンの二重構造です。厳しい制裁と限定的なインターネット機能により、DPRK俳優はしばしば中国やロシアなどの「友好的な」国から操作しています。彼らは物理的アクセスポイントを管理するための仲介者(ファシリテータ)に依存し、しばしば標的国に位置する外国市民です。
Google Mandiantの観察によれば、単一の米国ベースの労働者は3年間にわたり北朝鮮の給与680万ドル以上を流出させることができました。これは、これらのキャンペーンが国家が追求する価値のあるスケールにどのように成長するか、そして加害者が取る長期的視点の両方を示しています。
作戦は、アメリカなどの標的国の「ラップトップファーム」を含むことが多く、ファシリテータが多数の作業用ラップトップをセットアップして遠隔アクセス用に維持します。脅威アクターはAnyDeskなどのリモート監視・管理(RMM)ツールを使用してオフショア位置から接続し、VPNからラップトップファームに接続し、その後RMMツールを通じて仕事用デバイスに接続します。この「二重偽装」により、企業ログで接続の真の出所を特定することが非常に困難になります。
標的国内でデバイスを接続・遠隔管理するために使用されるツールはしばしば正当な用途を持っており、検出をより困難にする可能性があることは注目する価値があります。それとはいえ、いくつかのツールは北朝鮮のアクターに好まれているようであり、その使用は綿密に監視されるべきです。これには、地理的位置データを隠すために設計された非制裁VPNと、従来のソフトウェア監視をバイパスする特定のIP対応キーボード/ビデオ/マウス(KVM)デバイスが含まれます。
学際的防御戦略
このテーマキャンペーンは、従来の技術的管理を超えた調整された学際的防御を要求します。これらのインサイダー労働者スキームから防御する際に、セキュリティチームはアクターが既に組織に正常に浸透した後の「安全装置」です。
しかし、セキュリティチームがDPRKが実施しているようなインサイダーキャンペーンから組織を保護する役割を果たさないというわけではありません。それは内部と外部の両方での認識を高めることから始まります。
最前線防御としてのHRと人材採用
インサイダー脅威戦術の変化の重大な教訓は、HRと採用チームをサイバーセキュリティ防御戦略に統合する必要があることです。これらのチームは初期のペルソナ作成段階に対する最初の防御線です。彼らは以下に細心の注意を払うべきです:
- 面接プロセスでの精査の推進:HRチームは、カメラを点けることに抵抗を示す候補者、その身元を隠すためにディープフェイク技術を使用する候補者、または操作された画像をマスクしている可能性のある説明のないビデオ/オーディオ品質の問題を持つ候補者など、潜在的な赤旗の兆候に注意する必要があります。ディープフェイク技術が改善されるにつれて、強化された疑いはさらにもっともらしくなります。
- ベースライン期待動作の確立:セキュリティチームはHRおよびマネージャーと連携して、すべての職務に対する期待される技術的活動とデータアクセスを明確に定義する必要があります。役割ベースのアクセスと最小権限を実行することは、従業員が日々の職務範囲外の企業データにアクセスしようとしているインジケータを認識するために重要です。
- オンボーディングへのセキュリティのループイン:オンボーディングプロセスの定期的なレビュープロセスの概要は、別の良い対策として機能し、背景調査プロセスを検証する機会を提供し、強力なアセット管理制御を確保します。これはまた、組織がコントラクターとサードパーティをどのように選択、オンボード、働くかのプロセスを確認する機会としても機能し、インサイダーリスクの別の重要な源です。
技術的検出とハンティング
セキュリティ運用の観点から、検出は以下を含むリモートで非標準的なワークフロウを示す異常な動作に焦点を当てるべきです:
- RMMおよびVPN監視:承認されたRMMおよびVPNツールを制限する厳格なポリシーを実装します。無許可のソフトウェアインストールを検出し、特に敵対的なキャンペーンに関連していることが知られている外部VPN接続を監視します。
- 異常な活動:ボリュームベースのデータ流出またはユーザーの予想される義務外の機密データへのアクセスについて、ネットワークログとデータ損失防止(DLP)プラットフォームを監視します。
- 「マウス・ジグラー」インジケータ:カフェインまたはセッションを永続的に保ち、ラップトップがスリープになるのを防ぐように設計された他のマウスジグリングツールのようなツールを検出します。それらの存在はラップトップファームからのリモート操作のインジケータになる可能性があります。
- USBデバイス監視:KVM周辺機器ハードウェアまたはデータ流出に使用される未認可のストレージデバイスを含む可能性のある非標準USBデバイスの使用に関する厳密なログと警告を実装します。
組織は、まず自分の環境内の活動のベースラインを確立することで検出にアプローチする必要があります。RMMツールまたはVPNの存在に基づくアラーティングは、高い組織的ノイズのため、しばしば実行不可能です。したがって、焦点は、非常に疑わしいツールまたは禁止された動作のみをフラグする高忠実度検出を作成することである必要があります。
変化するセキュリティ上の命令
DPRK IT労働者キャンペーンは、北朝鮮が特にインサイダー脅威より広く戦術における深刻な転換を表しています。(依然として危険な)不満の従業員ではなく、これらのアクターは長期的な金銭的および戦略的利益のために組み込まれた高リソース化された国家支援操作を形成します。
これに対抗するために、組織はそれをIT Securityが解決すべき問題ではなく、組織全体の懸念として認識する必要があります。セキュリティリーダーは、技術的な侵害の前に発生する攻撃インジケータ(IOA)(つまり、採用プロセス中)について教育するために、HRおよびビジネスリーダーを積極的に関与させる必要があります。リモートアクセスツールに関する明確なポリシーを確立し、高度な行動分析に投資し、企業全体で統合された防御を作成することで、組織はこれらの独特で高度に組織化された敵に対するコストと複雑さを大幅に増やすことができます。
翻訳元: https://zerolabs.rubrik.com/blog/trojan-workforce-defending-against-state-backed-insider-threats
