Amazon выявила сотрудника, который формально числился удалённым специалистом из США, но на деле оказался частью схемы, связанной с Северной Кореей. Поводом для расследования стала нетипичная техническая деталь — аномальная задержка ввода с клавиатуры, пишет Bloomberg.
Специалисты по кибербезопасности обратили внимание, что input lag превышал 110 миллисекунд. Для удалённой работы с территории США такие показатели считаются нетипичными: обычно задержка составляет лишь десятки миллисекунд. По словам директора по безопасности Amazon Стивена Шмидта, именно этот сигнал стал триггером для углублённой проверки.
Расследование показало, что корпоративный ноутбук Amazon физически находился в Аризоне, однако фактически управлялся через системы удалённого доступа. Доступ к устройству имели лица, связанные с КНДР, что и объяснило технические аномалии. Использование удалённого управления не только замедляло ввод, но и позволяло маскировать реальное местоположение исполнителей.
В компании отмечают, что подобные попытки стали системной угрозой. С апреля 2024 года Amazon заблокировала более 1800 попыток проникновения, связанных с Северной Кореей, а их количество растёт в среднем на 27% каждый квартал. Основная цель таких операций — получение доходов для режима КНДР, однако в отдельных случаях речь может идти о шпионаже или саботаже.
Шмидт подчёркивает, что без активного мониторинга и целенаправленного поиска подобных аномалий такие сотрудники могли бы остаться незамеченными. В рамках дела также установлено, что гражданка США помогала схеме, предоставляя инфраструктуру для удалённого доступа к корпоративному оборудованию. Суд приговорил её к нескольким годам лишения свободы.
Помимо технических сигналов, Amazon учитывает и поведенческие признаки. В частности, внимание привлекает нетипичное использование английского языка и американских идиом, что часто становится дополнительным индикатором при проверках удалённых сотрудников.
источник
уникальность
