हर कंपनी एक लक्ष्य है: रिमोट हायरिंग एक अटैक सर्फेस के रूप में
सुरक्षा क्षेत्रों में एक आम धारणा है कि खतरे वाले अभिनेता वहाँ जाते हैं जहाँ मूल्यवान डेटा होता है: रक्षा ठेकेदार, वित्तीय संस्थान, स्वास्थ्य सेवा प्रणालियाँ। यदि आपकी कंपनी उस प्रोफ़ाइल से मेल नहीं खाती, तो आप शायद प्रयास के योग्य नहीं हैं।
DPRK IT कर्मचारी ऑपरेशन उस तरह काम नहीं करते।
ये योजनाएँ हायरिंग वर्कफ़्लो को निशाना बनाती हैं, न कि उद्योगों को। अटैक सर्फेस वह प्रक्रिया है जिसके द्वारा किसी ऐसे व्यक्ति पर भरोसा बढ़ाया जाता है जिससे आप कभी व्यक्तिगत रूप से नहीं मिले, उन्हें क्रेडेंशियल जारी किए, और उन्हें अपने सिस्टम तक पहुँच दी। वह प्रक्रिया एक मिड-मार्केट SaaS कंपनी, एक लॉजिस्टिक्स फर्म, और एक Fortune 500 एंटरप्राइज में लगभग समान दिखती है। जिसका मतलब है कि जोखिम भी लगभग समान है।
वर्कफ़्लो ही लक्ष्य है
रिमोट हायरिंग एक पूर्वानुमानित पैटर्न पर एकत्रित हुई है: एक भूमिका पोस्ट करें, आवेदकों की जाँच करें, वीडियो साक्षात्कार आयोजित करें, बैकग्राउंड जाँच चलाएं, ऑनबोर्ड करें। DPRK IT कर्मचारी ऑपरेशन ठीक उसी अनुक्रम का शोषण करने के आसपास बनाए गए हैं। राज्य, ट्रेजरी और FBI के विभागों से अमेरिकी सरकार की सलाह के अनुसार, ये ऐसे व्यक्ति नहीं हैं जो नौकरी आवेदनों में अपना रास्ता सुधार रहे हों। वे विशेष भूमिकाओं वाली संगठित टीमें हैं। वीडियो कॉल पर व्यक्ति, काम करने वाला व्यक्ति, और भुगतान प्राप्त करने वाला व्यक्ति एक ही ऑपरेशन के तीन अलग-अलग सदस्य हो सकते हैं।
संगठन का वह स्तर अर्थ है कि हमला किसी एकल प्रतिभागी के असाधारण होने पर निर्भर नहीं करता। यह सिस्टम के डिज़ाइन के अनुसार काम करने पर निर्भर करता है। और क्योंकि हायरिंग वर्कफ़्लो मानकीकृत हैं, जो एक कंपनी में काम करता है वह सीधे अगले में स्थानांतरित होता है।
कोई भी कंपनी लक्ष्य करने के लिए बहुत छोटी क्यों नहीं है
पारंपरिक खतरा मॉडलिंग जोखिम को उस मूल्य के आनुपातिक मानता है जिस तक एक हमलावर पहुँच सकता है। वह फ्रेमिंग नेटवर्क घुसपैठ या ransomware के लिए समझ में आती है। यहाँ यह लागू नहीं होती क्योंकि इन ऑपरेशनों का प्राथमिक उद्देश्य वेतन है, डेटा नहीं।
कोई भी संगठन जो वेतन या प्रति घंटा की दर देता है, एक व्यवहार्य लक्ष्य है। संवेदनशील सिस्टम या मालिकाना जानकारी तक पहुँच ऊपर की ओर है, चालक नहीं। जैसे-जैसे AI ने पहचान धोखाधड़ी को निष्पादित करने की लागत कम की है, हमले जो कभी कोशिश के लिए वास्तविक निवेश की आवश्यकता थी, अब लगभग कुछ भी नहीं खर्च होती। ऑपरेटरों के लिए अब किसे लक्षित करना है इसके बारे में चयनात्मक होने का कोई अर्थपूर्ण कारण नहीं है।
DOJ की नवंबर 2025 की प्रवर्तन कार्रवाइयों ने इसे ठोस रूप से दिखाया: सुविधाकर्ताओं ने DPRK कर्मचारियों को उद्योगों की एक विस्तृत श्रृंखला में 136 से अधिक अमेरिकी पीड़ित कंपनियों में धोखाधड़ी से पदों पर रखने में मदद की। ये सभी वर्गीकृत डेटा के साथ उच्च-सुरक्षा लक्ष्य नहीं थे। वे रिमोट भूमिकाओं, पेरोल सिस्टम, और VPN एक्सेस वाले संगठन थे।
नियंत्रण जो अंतर बंद नहीं करते
बैकग्राउंड जाँच, रेज़्यूमे स्क्रीनिंग, वीडियो साक्षात्कार, KYC प्रक्रियाएँ: ये नियंत्रण वही करते हैं जिसके लिए वे डिज़ाइन किए गए थे, जो यह सत्यापित करना है कि प्रस्तुत पहचान वैध है। समस्या यह है कि एक वैध पहचान सत्यापित करना यह पुष्टि करने के समान नहीं है कि उस पहचान का उपयोग करने वाला व्यक्ति वह है जिसकी जाँच की गई।
DPRK ऑपरेटर अक्सर वास्तविक या धोखाधड़ी से प्राप्त पहचान प्रस्तुत करते हैं जो सत्यापन पास कर लेती है। बैकग्राउंड जाँच साफ आती है क्योंकि अंतर्निहित रिकॉर्ड साफ है। जैसा कि हमने पिछले ब्लॉग में कवर किया, फेसस्वैप्ड ID आसानी से मानक बैकग्राउंड जाँच से गुज़र सकती हैं।
इनमें से कोई भी नियंत्रण निरंतरता प्रश्न को संबोधित नहीं करता: क्या आज इन क्रेडेंशियल के तहत काम करने वाला व्यक्ति वही है जिसे हायरिंग के समय सत्यापित किया गया था? वह प्रश्न कभी डिज़ाइन का हिस्सा नहीं था।
क्यों रखे गए ऑपरेटरों का पता लगाना कठिन है
एक बार जब कोई वैध क्रेडेंशियल के साथ अंदर आ जाता है, तो पहचान की समस्या आसान नहीं, बल्कि कठिन हो जाती है। आंतरिक निगरानी को किसी भूमिका के सापेक्ष असामान्य व्यवहार को चिह्नित करने के लिए कैलिब्रेट किया गया है। अपनी सौंपी गई जिम्मेदारियों के अनुरूप व्यवहार करने वाला कार्यकर्ता कोई संकेत नहीं देता।
एक वित्तीय गतिशीलता भी है जो DPRK IT कर्मचारियों को विशेष रूप से पता लगाना कठिन बनाती है। जब तक वे भुगतान एकत्र कर रहे हैं, निष्कर्षण या तोड़फोड़ एक्सपोज़र का जोखिम पैदा करती है जो आय प्रवाह को समाप्त कर देगा। इसलिए यह प्राथमिक उद्देश्य सक्रिय रूप से उन व्यवहारों को दबाता है जिन्हें पहचान प्रणालियाँ पकड़ने के लिए बनाई गई हैं। संघीय मार्गदर्शन ने महीनों या वर्षों तक बिना पता लगाए बने रहने वाली नियुक्तियों का दस्तावेजीकरण किया है।
न्यूयॉर्क राज्य वित्तीय सेवा विभाग ने इसे नवंबर 2024 की सलाह में नोट किया: कंपनियाँ अक्सर कुछ भी असामान्य नोटिस नहीं करतीं क्योंकि ये कर्मचारी मूल टूल का उपयोग करते हैं जो सामान्य नेटवर्क गतिविधि में घुल-मिल जाते हैं।
एक बेहतर दृष्टिकोण कैसा दिखता है
शुरुआती बिंदु यह स्पष्ट होना है कि विभिन्न नियंत्रण वास्तव में क्या सत्यापित करते हैं। दस्तावेज़ जाँच और बैकग्राउंड जाँच कलाकृति-सत्यापित नियंत्रण हैं। वे पुष्टि करते हैं कि एक रिकॉर्ड साफ है, कि एक क्रेडेंशियल जाँच आउट होता है। वे पुष्टि नहीं करते कि क्रेडेंशियल प्रस्तुत करने वाला व्यक्ति वही है जो वे होने का दावा करते हैं।
ऑपरेटर-सत्यापित नियंत्रण एक अलग प्रश्न को संबोधित करते हैं: क्या इन क्रेडेंशियल का अभी उपयोग करने वाला व्यक्ति वही है जिसे काम पर रखा गया था? ये दो श्रेणियाँ विनिमेय नहीं हैं। अधिकांश संगठनों के पास केवल पूर्व है।
आवश्यक बदलाव हायरिंग पर एक बार की क्रेडेंशियलिंग से रोजगार संबंध के दौरान निरंतर पुष्टि की ओर है। सरकारी सलाह इस बिंदु पर सुसंगत रही है। खतरा ऑनबोर्डिंग पर समाप्त नहीं होता, क्योंकि रोजगार संबंध स्वयं वह जगह है जहाँ ये योजनाएँ संचालित होती हैं।
यहाँ असममिति वास्तविक है। एक सफल नियुक्ति के लिए एक प्रयास की आवश्यकता होती है। अंतर बंद करने के लिए हर हायरिंग चक्र में, हर रिमोट भूमिका के लिए, अनिश्चित काल के लिए इसे संबोधित करने की आवश्यकता होती है। यह हतोत्साहित होने का कारण नहीं है; यह इस बारे में स्पष्ट होने का कारण है कि समस्या वास्तव में क्या है।
Polyguard को क्रियान्वित देखना चाहते हैं?
अपनी संचार सुरक्षा के लिए रीयल-टाइम पहचान सत्यापन का अनुभव करें।
