近年來，與朝鮮黑客有關的網絡犯罪活動不斷升級，其獨創的“IT就業計劃”成為國際社會關注的焦點。

根據網絡安全公司SentinelOne和Palo Alto Networks Unit 42的研究，朝鮮黑客利用虛假身份和前線（空殼）公司，大規模滲透全球技術行業以獲取資金，支持朝鮮的武器研發及核導彈項目。這種活動不僅涉及偽造身份獲取工作，還通過復雜的技術攻擊擴大其威脅范圍。

朝鮮“IT就業計劃”的全貌

朝鮮黑客組織通過全球范圍的“筆記本農場”（由目標企業所在國家的公民運營的遠程辦公環境）計劃，組織大量IT人員以個體身份或通過偽裝的公司獲取技術行業的遠程辦公就業機會。這些人員通過在線支付平臺或第三國銀行賬戶，將絕大部分收入返回朝鮮，為其核武器和導彈項目提供資金支持。其主要運作模式如下：

1.虛假前線公司：朝鮮黑客利用俄羅斯、東南亞等地的公司掩蓋其身份，偽裝成“外包開發”或“技術咨詢”公司。

2.偽造網站：研究發現，這些前線公司的網站通常直接復制合法公司的內容和設計。

• Independent Lab LLC仿制美國公司Kitrum
• Shenyang Tonywang Technology LTD仿制Urolime
• Tony WKJ LLC仿制印度的ArohaTech IT Services
• HopanaTech仿制ITechArt

這些前線公司通過知名域名注冊商NameCheap注冊，并冒充技術服務商獲取合同。（這些虛假網站已在2024年10月被美國政府查封）

滲透美國企業的案例

• 打入KnowBe4

朝鮮黑客出海最知名的案例莫過于成功打入了知名美國網絡安全公司KnowBe4。朝鮮黑客利用“筆記本農場”計劃成功通過了KnowBe4的多輪面試。此類出海黑客不僅通過偽造的身份獲取該公司的外包工作，還竊取了內部憑證以申請更多高價值職位。這也標志著朝鮮威脅組織的戰略轉變：從單純的收入獲取，逐步轉向更具破壞性的內鬼威脅和惡意軟件攻擊。

• Wagemole計劃與Contagious Interview

Unit 42的報告顯示，朝鮮的一組活動集群（代號CL-STA-0237）結合釣魚攻擊和惡意視頻會議應用程序傳播BeaverTail惡意軟件。這一行為表明，朝鮮威脅組織正在將偽裝的IT工作者轉變為更激進的攻擊角色，其主要攻擊方式如下：

• 攻擊路徑：通過冒充IT公司發送求職郵件，使用被感染的面試工具部署惡意軟件。
• 混入企業：研究發現，該集群通過偽裝成為一家美國中小型IT服務公司的員工，進而成功申請大型技術企業的職位，擴大其影響力。

朝鮮“黑客出海”攻擊特點

Sentinal在報告中指出，朝鮮的這一戰略不僅為其武器研發項目提供了穩定的資金來源，還對全球網絡安全構成重大威脅。以下是朝鮮網絡攻擊行為的幾大特點：

1.高度組織化

• 偽造身份：通過制作虛假的護照和學歷證明，偽裝成受過高等教育的IT專業人士。
• 利用全球化漏洞：從中國到東南亞，這些黑客通過復雜的前線網絡隱藏其實際來源。

2.逐步擴展的攻擊目標

• 初期目標：以低門檻的外包工作獲取收入。
• 擴展目標：通過竊取內部憑證，參與數據竊取、惡意軟件分發和供應鏈攻擊。

3.協同發展

• 跨國合作：利用他國公司掩護，規避國際制裁。
• 與其他威脅集群聯動：如Contagious Interview集群，擴展了傳統釣魚攻擊的深度。

如何防御“黑客出海”？

鑒于黑客出海務工行為的復雜性和隱蔽性，企業需加強以下防御措施：

1.嚴格的身份驗證

• 在招聘流程中對候選人的背景和身份進行更嚴格的審查，驗證其身份真實性。
• 引入先進的自動化工具以交叉檢查簡歷信息的可信度。

2.強化供應鏈安全

• 對所有外包合作伙伴進行風險評估，確保其合規性。
• 監控供應鏈中的異常行為，避免被惡意行為者利用。

3.多層次威脅檢測

• 實施先進的威脅情報系統，實時檢測可疑的網絡活動。
• 對內部憑證和訪問權限進行定期審查，防止被濫用。

4.提高員工意識

• 針對潛在釣魚攻擊和偽造身份行為，對員工開展培訓。
• 定期更新安全策略，以應對不斷變化的威脅。

總結：“黑客出海”不是朝鮮的專利

通過“筆記本農場”計劃，朝鮮黑客組織將網絡攻擊與經濟滲透相結合，展現出高度的適應性和創新性。從冒充IT工作者到惡意軟件攻擊，其目標從簡單的資金獲取擴大到企業供應鏈安全和國家基礎設施。

最后，“黑客出海”的威脅絕不僅僅是朝鮮的“專利”，任何黑客組織都可能模仿朝鮮黑客滲透對手國家的重要企業和項目，企業和政府需要重視并加強對該威脅的防御措施。