| Undefined
In un mondo sempre più connesso e digitalizzato, le aziende si trovano ad affrontare nuove sfide in termini di sicurezza. La minaccia dall’interno, ovvero il rischio che un dipendente possa danneggiare l’azienda, è una preoccupazione crescente. Questo rischio è amplificato dal fenomeno dei nomadi digitali e dello smart working, dove i dipendenti possono non essere mai incontrati fisicamente. Ma come possiamo proteggere i nostri segreti industriali e la privacy dei dipendenti se siamo noi stessi a “consegnare le chiavi di casa”?
L’importanza di procedure di assunzione rigide
Le procedure di assunzione sono la prima linea di difesa contro le minacce interne. Un processo di selezione accurato può aiutare a identificare potenziali rischi prima che diventino problemi reali. Secondo un rapporto dell’Intelligence and National Security Alliance, coinvolgere il dipartimento delle risorse umane in un approccio interdisciplinare per il monitoraggio e la mitigazione delle minacce interne è fondamentale (https://www.insaonline.org/docs/default-source/uploadedfiles/2020/01/insa-int-sept252020.pdf). Questo approccio non solo considera gli indicatori tecnici, ma anche i fattori comportamentali umani.
Indicatori di minacce interne
Le minacce interne possono manifestarsi in vari modi, da comportamenti negligenti a veri e propri atti di sabotaggio. Alcuni indicatori di potenziali minacce includono conflitti con colleghi o superiori, violazioni croniche delle politiche aziendali, e l’uso dei social media per minacciare l’organizzazione. (https://www.cisa.gov/sites/default/files/publications/HRs%20Role%20in%20Preventing%20Insider%20Threats%20Fact%20Sheet_508.pdf). Riconoscere questi segnali può aiutare a prevenire incidenti gravi.
A presentare ulteriori sfide il lavoro da remoto e la crescente adozione dello smart working. La mancanza di interazioni “de visu” rende più difficile valutare il comportamento e l’affidabilità dei dipendenti. Tuttavia, implementare controlli di sicurezza regolari e promuovere una cultura aziendale trasparente può mitigarne i rischi.
Infiltrazione di lavoratori IT nordcoreani nelle aziende occidentali
Negli ultimi anni, la Corea del Nord ha sviluppato una strategia sofisticata per infiltrarsi nelle aziende occidentali attraverso lavoratori IT altamente qualificati. Questi individui, spesso operanti sotto identità false, riescono a ottenere posizioni remote o contratti freelance, contribuendo sia alle entrate illecite del regime nordcoreano che alle attività di spionaggio informatico.
Un esempio significativo di questa infiltrazione è il caso di Christina Chapman, accusata di frode per aver aiutato lavoratori IT nordcoreani a ottenere lavori in oltre 300 aziende statunitensi utilizzando identità rubate (https://www.csoonline.com/article/3497138/how-not-to-hire-a-north-korean-it-spy.html). Chapman avrebbe facilitato l’accesso di questi lavoratori ai sistemi aziendali, permettendo loro di installare software non autorizzati e di riciclare i pagamenti ricevuti per questi lavori. Ma questo non è l’unico esempio.
In un recente rapporto la società di sicurezza informatica Secureworks (https://www.secureworks.com/blog/fraudulent-north-korean-it-worker-schemes) ha svelato una tattica impiegata dal gruppo hacker nordcoreano noto come Nickel Tapestry. Utilizzando identità rubate o falsificate per ingannare i dipartimenti delle risorse umane di aziende negli Stati Uniti, nel Regno Unito e in Australia, i falsi lavoratori spesso si candidavano per posizioni di sviluppatori, utilizzando una varietà di tattiche per eludere e nascondere le loro posizioni e intenzioni. Ad esempio, richiedevano modifiche agli indirizzi di consegna per i notebook aziendali, talvolta esprimendo preferenza per l’utilizzo di notebook personali e configurazioni VDI (infrastrutture desktop virtuali), secondo uno schema già segnalato dall’FBI (https://www.ic3.gov/PSA/2023/PSA231018). In pratica dopo essersi infiltrati nelle aziende fingendosi legittimi smartworker, rubavano dati sensibili per poi chiederne un riscatto. Addirittura in un caso particolare, i ricercatori Secureworks ritengono che un singolo individuo abbia adottato più personalità per promuovere la truffa, impiegando una “Laptop Farm” configurata ad hoc per nascondere la reale geolocalizzazione delle varie postazioni di lavoro remote.
La scorsa estate infine, gli hacker nordcoreani avrebbero tentato anche un altro schema di assunzione, questa volta prendendo di mira una nota azienda di sicurezza informatica con sede negli Stati Uniti. In questo caso, l’infiltrato dopo essere riuscito a ottenere un impiego come addetto IT sarebbe riuscito a installare un malware su di una worstation Mac fornita dall’azienda, con l’intento di compromettere i sistemi.
“Il funzionamento è questo: il finto lavoratore chiede di ricevere la propria postazione di lavoro a un indirizzo che è fondamentalmente una “IT mule laptop farm”. Quindi si collegano tramite VPN da dove si trovano fisicamente (Corea del Nord o oltre confine in Cina) e lavorano di notte in modo da sembrare di lavorare durante il giorno negli Stati Uniti. La truffa è che in realtà vengono pagati bene e danno una grande quantità di denaro alla Corea del Nord per finanziare i loro programmi illegali” spiega (https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us) Stu Sjouwerman di Knowbe4 e conclude “I nostri controlli lo hanno scoperto, ma è stato sicuramente un momento di apprendimento che sono felice di condividere con tutti”.
Metodi di infiltrazione
Pertanto diverse risultano essere le tattiche adottate da questi gruppi criminali per infiltrarsi nelle aziende:
- Identità false: Spesso si presentano come cittadini di altri paesi, utilizzando documenti falsi o rubati per superare i controlli di sicurezza.
- VPN e proxy: Utilizzano reti private virtuali (VPN) e proxy per mascherare la loro vera posizione e identità.
- Piattaforme freelance: Si registrano su piattaforme di lavoro freelance, dove è più facile ottenere contratti senza un controllo rigoroso delle credenziali.
Implicazioni per la sicurezza
L’infiltrazione di lavoratori IT con propositi fraudolenti o di spionaggio e magari appartenenti ad affiliazioni “nation-state” rappresenta una seria minaccia per la sicurezza nazionale e aziendale. Questi individui non solo generano entrate significative per il proprio regime, ma possono anche accedere a informazioni sensibili e critiche, mettendo a rischio la sicurezza informatica delle aziende vittime. Per evitare evitare l’infiltrazione di queste “talpe” le aziende possono adottare misure quali implementare processi di verifica più rigorosi per confermare l’identità e le qualifiche dei candidati, utilizzare strumenti di monitoraggio per rilevare attività sospette o non autorizzate nei sistemi aziendali e educare i dipendenti delle risorse umane sui rischi associati all’infiltrazione e su come riconoscere potenziali minacce.
In conclusione
Rinforzare le procedure di assunzione è essenziale per proteggere le aziende dalle minacce interne. Un approccio olistico che coinvolga risorse umane, sicurezza e altri stakeholder può creare un ambiente di lavoro sicuro e produttivo. In un’era di nomadi digitali e smartworking, è più importante che mai essere vigili e proattivi nella gestione dei rischi interni.
La strategia della Corea del Nord di utilizzare lavoratori IT per infiltrarsi nelle aziende occidentali è un esempio di come le minacce informatiche stiano evolvendo. È essenziale che le aziende adottino misure preventive per proteggersi e salvaguardare le proprie informazioni sensibili.