Il North Korean worker scheme si è esteso fino a diventare una minaccia globale. Sebbene inizialmente fosse concentrato sulle aziende tecnologiche statunitensi, oggi si è diffuso in altre regioni e settori, tra cui finanza, sanità e pubblica amministrazione. Qualsiasi azienda che assuma lavoratori da remoto è a rischio; in quanto azienda tecnologica “remote-first”, persino Sophos è stata presa di mira da operatori sponsorizzati dallo Stato nordcoreano che si fingevano professionisti IT.
Valutare il rischio
Gli aggressori prendono di mira posizioni completamente da remoto e ben retribuite, con l’obiettivo principale di ottenere uno stipendio da destinare agli interessi del governo nordcoreano. Di solito fanno domanda per ruoli di ingegneria del software, sviluppo web, intelligenza artificiale/machine learning, data science e cybersecurity, anche se nel tempo hanno ampliato il raggio ad altri ambiti.
Le organizzazioni in cui sono infiltrati questi criminali affrontano numerosi rischi. L’assunzione di lavoratori nordcoreani può comportare la violazione di sanzioni internazionali. Inoltre, tali personaggi potrebbero compiere attività tipiche delle minacce interne, come accessi non autorizzati e furti di dati sensibili. I lavoratori fraudolenti possono inoltre incrementare le proprie entrate ricorrendo a minacce di esposizione dei dati per ricattare l’organizzazione, specialmente dopo essere stati licenziati.
Come possiamo aiutare
Abbiamo perfezionato un’iniziativa interna che adotta un approccio trasversale per affrontare questa minaccia. Durante questo processo, abbiamo scoperto che esiste una grande quantità di indicazioni difensive a disposizione delle organizzazioni. Tuttavia, raccoglierle in un insieme coerente e realmente attuabile di controlli ha richiesto un notevole sforzo. Per i difensori, sapere che cosa fare è spesso semplice. La vera sfida è capire come farlo.
Chiunque abbia implementato dei controlli sa che ciò che sembra semplice sulla carta può rapidamente trasformarsi in una sfida progettuale complessa, soprattutto quando si mira a soluzioni scalabili, pratiche e sostenibili. Abbiamo quindi deciso di pubblicare un playbook per supportare altre organizzazioni nel gestire questa minaccia. Nello sviluppare questi materiali, abbiamo dato priorità alla specificità rispetto alla ampia applicabilità. I controlli si basano sulle best practice, sui nostri processi interni e sull’intelligence sulle minacce raccolta dai nostri ricercatori di sicurezza, che monitorano le tattiche, le tecniche e le procedure (TTP) utilizzate dagli aggressori nordcoreani.
Il playbook include un toolkit che contiene due versioni di una matrice di controllo (una statica e una “pronta per il project manager”), una guida all’implementazione e delle slide per la formazione. Abbiamo suddiviso la matrice di controllo in otto categorie che coprono l’intero ciclo, dall’acquisizione del personale fino al post-assunzione:
- Controlli HR e di processo
- Colloqui e selezione
- Identità e verifica
- Banche, pagamenti e finanza
- Sicurezza e monitoraggio
- Terze parti e agenzie di collocamento
- Formazione
- Threat hunting
La matrice elenca controlli tecnici e procedurali, poiché evitare o rimuovere lavoratori nordcoreani fraudolenti non è soltanto – e nemmeno principalmente – una questione tecnologica. La soluzione richiede collaborazione tra team interni come HR, IT, legale, finanza e cybersecurity, oltre che con fornitori e consulenti esterni. La versione “project manager-ready” include ulteriori fogli di lavoro per generare tabelle pivot che riflettano lo stato e la titolarità dei controlli. I fogli di lavoro contengono dati precompilati per illustrare le funzionalità.
Alcuni di questi controlli potrebbero non essere appropriati per tutte le organizzazioni, ma offriamo questo toolkit come risorsa di riferimento. Invitiamo le organizzazioni ad adattare le raccomandazioni in base ai propri ambienti e ai modelli di minaccia specifici.
