Служба безопасности Amazon идентифицировала самозванца из Северной Кореи, который пытался работать системным администратором в подразделении компании в США. Подозрение возникло из-за значительно большей задержки ввода с клавиатуры, чем ожидалось для удаленного сотрудника из Америки: система фиксировала более 110 миллисекунд вместо привычных десятков миллисекунд.
Об этом сообщает ProIT
Выявление мошенников: технологии и человеческий фактор
Amazon ведет постоянный и системный поиск подобных злоумышленников в своих рядах. Директор по безопасности компании Стивен Шмидт рассказал, что главная цель таких атак — получение валюты для КНДР, а также шпионаж или саботаж. С апреля 2024 года Amazon уже заблокировала более 1800 попыток проникновения граждан Северной Кореи в свои структуры, и эта активность неуклонно растет — ежеквартально количество атак увеличивается на 27%.
«Если бы мы не искали сотрудников из КНДР, мы бы их не нашли», — подчеркнул Шмидт.
Первый сигнал о подозрительном сотруднике появился в начале года, когда служебный ноутбук нового системного администратора сообщил о аномальных задержках ввода с клавиатуры. Дальнейшее расследование показало, что устройством управляли удаленно, что и вызвало задержки. Ключевую роль в выявлении мошенника сыграло современное программное обеспечение для кибербезопасности, отметил директор по безопасности.
Схемы проникновения и меры противодействия
Расследование выяснило, что ноутбуком, который физически находился в Аризоне, дистанционно управляли представители КНДР. Женщину, которая помогала организовать эту схему и действовала от имени северокорейских «работников», осудили на несколько лет лишения свободы. Кроме технических маркеров, специалисты обращают внимание и на языковые особенности: нередко мошенников выдает неуверенное использование американских идиом и артиклей во время общения на английском языке.
Проблема проникновения граждан Северной Кореи в крупные американские корпорации с коммерческой или разведывательной целью остается актуальной. В последнее время ФБР изъяло значительные объемы оборудования, что может свидетельствовать лишь о верхушке айсберга. Эксперты прогнозируют, что попытки проникновения со стороны КНДР, а также иранских, российских и китайских злоумышленников, будут продолжаться и впредь.