曹县黑客冒充美国IT工作者打黑工挣了8800 万美元

曹县黑客利用窃取的身份在美国公司和非营利组织获得远程IT职位，六年内至少获利8800万美元。美国司法部于2024年12月12日起诉了14名参与此案的曹县公民。

安全公司Flashpoint进行了一项独特的调查，分析了黑客自身受感染计算机的数据，以揭示他们的攻击策略以及有关此计划的独家细节。

Flashpoint 的调查揭露了起诉书中提到的虚假公司，包括“Baby Box Info”、“Helix US”和“Cubix Tech US”，这些公司被用来伪造简历并提供虚假推荐信。

研究人员追踪了受感染的计算机，特别是位于巴基斯坦拉合尔的一台，该计算机保存着与这些虚假实体相关的电子邮件地址的登录凭证。在其中一台机器上发现了用户名“jsilver617”，可能与虚假的美国身份“JS”有关，这台机器曾在 2023 年用于申请多份科技职位。

一个关键证据是，在受感染计算机的浏览器历史记录中发现，攻击者广泛使用谷歌翻译进行英语和韩语翻译。

翻译后的信息揭露了他们伪造工作推荐信的手段，甚至包括伪造公司人员的联系信息。其中一条翻译后的信息冒充“Cubix”的人力资源经理，提供了虚假的就业验证信息。

调查还发现了有关运送电子设备（可能是笔记本电脑和手机）用于远程办公的讨论。这与 Hackread.com 最近报道的“笔记本电脑农场”事件相符。该事件中，美国合作者接收设备供曹县工人远程访问，而著名的曹县APT组织 Nickel Tapestry 被认定为主要实施者。

在本案中，一条翻译过的消息询问将笔记本电脑运送到尼日利亚的情况。浏览器历史记录显示了国际快递服务的追踪号，其中包括一批可能从迪拜发货的货物。

调查还发现，受感染的机器上使用了AnyDesk远程桌面软件，这表明曹县特工远程访问了美国公司的系统。这一细节凸显了他们直接访问敏感公司网络的能力。

Flashpoint的调查报告显示： “自从发现朝鲜秘密特工窃取资金、知识产权和信息以来，财富 500 强企业、科技和加密货币行业一直在报告更多此类事件。”

技术报告：

https://flashpoint.io/blog/flashpoint-investigation-uncovering-the-dprks-remote-it-worker-fraud-scheme/

新闻链接：

https://hackread.com/north-korean-hackers-stole-88m-posing-us-tech-workers/

讲述普通人能听懂的安全故事