Securitybedrijf: monitor op mouse jigglers voor detectie Noord-Koreaanse it'ers
Bedrijven en organisaties doen er verstandig aan om op de aanwezigheid van 'mouse jigglers' te monitoren, omdat dit kan helpen bij het detecteren van Noord-Koreaans it-personeel, zo adviseert securitybedrijf Mandiant. De afgelopen maanden kwamen de Amerikaanse overheid en securitybedrijven met waarschuwingen voor Noord-Koreaanse it-ers die bij honderden Amerikaanse bedrijven als softwareontwikkelaars aan de slag zouden zijn gegaan.
Het gaat hierbij om 'remote jobs', waarbij de Noord-Koreanen gebruikmaken van valse identiteiten om voor de banen te solliciteren, aldus de autoriteiten. Vaak worden ze daarbij geholpen door personen in de Verenigde Staten, die bijvoorbeeld 'laptop farms' runnen. Nadat de it'ers zijn aangenomen geven ze aan hun nieuwe werkgever het adres van de laptop farm op, waar vervolgens de bedrijfslaptop naartoe wordt gestuurd. Vervolgens installeert de eigenaar van de laptop farm software op de laptop, zodat Noord-Koreaanse it'ers er op afstand gebruik van kunnen maken.
Het doel van de it'ers is om geld voor het Noord-Koreaanse regime te verdienen en toegang tot netwerken te behouden voor mogelijk toekomstig financieel misbruik. Ook zou de toegang kunnen helpen bij spionage, stelt Mandiant. Het securitybedrijf laat in een analyse weten dat het meerdere Noord-Koreaanse it'ers heeft ontdekt die van mouse jigglers gebruikmaken. Via dergelijke software is het mogelijk om activiteit op het systeem te simuleren.
Via de mouse jigglers kunnen de it'ers op meerdere laptops en profielen tegelijkertijd actief blijven. Veel van deze it'ers hebben meerdere banen en kunnen via de mouse jiggler zo bij alle werkgevers online lijken, aldus Mandiant. Het securitybedrijf adviseert dan ook om op de aanwezigheid van mouse jiggler software te monitoren. Onlangs werden nog medewerkers van een Amerikaanse bank wegens het gebruik van mouse jigglers ontslagen.
Verder adviseert Mandiant om alert te zijn bij het sollicitatieproces, zoals het gebruik van kunstmatige intelligentie om profielfoto's aan te passen en gebruik van VoIP-telefoonnummers. Ook moet worden gemonitord op vpn-software en remote administration tools. Bedrijven wordt tevens aangeraden om gebruik te maken van een hardwaregebaseerde multifactor voor multifactorauthenticatie, om zo fysieke toegang tot de bedrijfslaptop af te dwingen.
Ten eerste - je zet niet "zomaar" je remote workforce over van "bedrijfslaptop" naar "remote deskop" .
Het is een heel grote wijziging van infrastructuur als dat niet je standaard model is voor 'remote werk' .
Ten tweede - waarom denk je dat de Noord-Koreanen bij een remote desktop model via een VPN zouden moeten komen ?
Ze kunnen nog steeds een laptop farm gebruiken, nu alleen om de remote desktop client op een 'vertrouwd Amerikaans IP' te laten runnen. Ze moeten dan alleen zelf een stel laptops (of whatever) laten kopen met die rdp clients. Of niet eens, gewoon een bedrijfsverzamelgebouw als ip-reflector gebruiken misschien.
Nu _is_ het Amerika, waar meer mag - maar jij denk werkelijk dat men in een Enterprise omgeving "een tijdje gaat zitten meekijken met John P Jackson of ie wel aan het remote-werk is" ?
Afgezien van rechten (zelfs in de VS betwijfel ik of dat 'zomaar' mag) - "met het handje" gaan zitten meekijken of er wel echt gewerkt wordt is fors onschaalbaar .
Laten we de zaak eens naar jezelf trekken :
Accepteer jij een baan met een contract waar in staat dat de de werkgever wanneer ie zin heeft met je remote scherm meekijkt of jij wel productief bent ?
En dat je eruit gegooid mag worden als het lijkt dat je niks nuttigs doet ?
Dat je de Noord Koreanen buiten de deur wilt houden is mooi - maar op zo'n manier heb je al snel geen deur meer om ze buiten te houden.
Dan zetten ze iets anders aan. Een ppt-presentatie, een video-filmpje, oid.
Er zijn genoeg methoden die de "computer"/vdi laten denken dat er activiteit is.
En anders worden ook al die mensen die een document doorlezen of telefonsich in geprek zijn, elk kwartier uitgelogd. :-)
Als dat vaak genoeg bij de directeur of managers gebeurt, gaan ze daar snel weer mee stoppen.
Ze kunnen beter controleren of het verwachte werk binnen de gestelde/afgesproken tijd werkelijk gedaan is.
Maar dan moeten leidingevenden opeens zelf ook gaan werken ipv vergaderen.
Ze kunnen nog steeds een laptop farm gebruiken, nu alleen om de remote desktop client op een 'vertrouwd Amerikaans IP' te laten runnen. Ze moeten dan alleen zelf een stel laptops (of whatever) laten kopen met die rdp clients. Of niet eens, gewoon een bedrijfsverzamelgebouw als ip-reflector gebruiken misschien.
Er zijn leveranciers die geen serverfarm hebben voor uitgaand verkeer, maar (tegen betaling) proxies installeren bij particulieren. Gebruikers van die VPN diensten lijken dan gewoon van een thuisaansluiting te komen.
Peter
Ze kunnen nog steeds een laptop farm gebruiken, nu alleen om de remote desktop client op een 'vertrouwd Amerikaans IP' te laten runnen. Ze moeten dan alleen zelf een stel laptops (of whatever) laten kopen met die rdp clients. Of niet eens, gewoon een bedrijfsverzamelgebouw als ip-reflector gebruiken misschien.
Er zijn leveranciers die geen serverfarm hebben voor uitgaand verkeer, maar (tegen betaling) proxies installeren bij particulieren. Gebruikers van die VPN diensten lijken dan gewoon van een thuisaansluiting te komen.
Peter
Inderdaad, dat is ook een manier om een 'private vpn service' te bouwen.
Linksom of rechtsom - er zijn een aantal manieren om te lijken op een 'thuiswerker in de VS' , hetzij met bedrijfslaptop, hetzij met een remote desktop client terwijl de werkelijke werker elders zit .
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.