北韓駭客冒充創投、HR、IT 人員，竊取數價值十億美元的加密貨幣

創投、大企業 HR、遠距工作 IT 人員，聽起來沒什麼共通點，但現在有安全研究人員表示，有受到北韓政府支持的駭客冒充這些身分因而被捕。

上週五，在華盛頓特區舉辦的網路戰爭年度會議（Cyberwarcon）上，安全研究人員就提到了對北韓威脅的最新評估；研究人員指出，北韓駭客不斷試圖冒充求職者，到跨國公司尋求工作，其目的是為北韓政府賺錢並竊取有利於該國武器發展計畫。

在過去的十年間，這些冒充各種身分的駭客，透過竊取方式獲得的加密貨幣，價值高達數十億美元，為北韓發展核武計畫提供大筆資金，也進而躲避大量的國際制裁。

微軟安全研究員 James Elliott 在 Cyberwarcon 演講中表示，北韓駭客透過創建偽冒身分滲透到世界各地「數百個」組織，同時仰賴美國服務商來處理公司發放的工作站、收入來規避國際對北韓的制裁。

專門調查北韓網路能力的研究人員認為，當今北韓日益嚴重的威脅是由不同駭客團體所組成，各別團體會採取不同策略與技術，但他們都有一個共同的目標，那就是竊取加密貨幣。

微軟將一群專門入侵航空航太與國防相關公司的北韓駭客稱為「Ruby Sleet」，這些駭客會竊取開發武器與導航系統的產業機密。

至於偽冒成大企業 HR 與創投的駭客則被稱為「Sapphire Sleet」，主要工作是從個人和公司內部竊取加密貨幣。他們引誘或初步接觸目標後，會招開一個虛擬招募會議，在虛擬會議中冒名頂替者會迫使受害者下載偽裝成修復損壞的虛擬會議工具的惡意軟體。

在虛假招募活動中，冒名頂替者會要求求職者下載並完成技能評估，其中實際上包含惡意軟體。安裝後，惡意軟體可以存取電腦上的其他資料，包括加密貨幣錢包。微軟表示，駭客僅在六個月內就竊取了至少 1,000 萬美元的加密貨幣。

不過至今最持久且最難打擊的手法，是一些北韓駭客利用 COVID-19 大流行期間開始的遠距工作熱潮，偽冒成求職者擔任大企業的遠距工作者。微軟將這些偽冒的北韓駭客稱為「triple threat」（三重威脅），因為這一群駭客可以欺騙大企業，以獲得就業機會並為北韓政府賺錢，同時還能竊取企業機密與智慧財產權，而且還以洩漏資訊為由，來勒索這些受害的大企業。

在無意中聘僱北韓駭客的數百家公司中，僅有少數公司公開承認自己是受害者。安全公司 KnowBe4 今年稍早就表示，在被欺騙的情況下雇用了一名北韓駭客，但該公司在意識到自己被騙後，就阻止了該員工的遠端訪問，並表示沒有竊取任何公司資料。

但為何北韓駭客可以這麼輕易地就被這些受害公司所信任？

典型的北韓駭客會建立一系列的線上帳號，像是 LinkedIn 個人資料和 GitHub 頁面，以建立一定程度的職業信譽。這些惡意份子可以透過 AI 來生成一個虛假的身分，當中也會使用深偽技術來換臉與變聲。

一旦受聘，這些跨國企業就會寄送新筆電到美國的一個住家地址，不過這些受害公司不會知道，這個地址是由一名協調員所管理，負責建立公司發放的筆記型電腦農場；這個協調員還會在收到的筆電上安裝遠端存取軟體，允許北韓駭客遠端登入，而無需透露駭客的真實位置。

微軟也表示，這些間諜活動除了在北韓外，俄羅斯與中國等地來進行，使得受害公司更難透過網路來識別出可疑的北韓間諜活動。

Elliott 表示，微軟的運氣還算不錯，在無意間收到了一名北韓駭客的公開資料庫，其中包含了詳細分析這些間諜活動的電子表格和文件，且其中還包含了北還駭客的虛假身分與履歷檔案；他還將這些資料庫描述為，駭客進行身分竊盜的「完整劇本」。

不過這並不是安全研究人員給出的唯一駭客辦事草率的例子。

在 Cyberwarcon 演講中，安全研究人員 Myong 和 SttyK 也表示，他們與一名疑似為北韓駭客的求職者交談，這名求職者聲稱自己是日本人，但他在訊息中犯下了語言錯誤，像是使用日語中不存在的單字；且這名求職者的身分也有其他漏洞，像是他聲稱自己在中國擁有銀行帳戶，但他的 IP 位址卻是在俄羅斯。