Kartais jautrių duomenų nereikia vogti laužant šifrus ar įsilaužiant į sistemas, nes pakanka drąsiai įeiti pro priekines duris ir apsimesti teisėtu darbuotoju. Būtent taip atrodė atvejis, kai Šiaurės Korėjos agentas nuotoliniu būdu dirbo „Amazon“ kaip sistemų administratorius.
Istorija skamba kaip socialinių tinklų legenda, bet ją išdavė smulkmena, kurią pastebėjo budrūs saugumo žmonės. Įprastai nuotolinis darbuotojas JAV įmonės sistemoms klavišo paspaudimo signalą perduoda per kelias dešimtis milisekundžių.
Šiuo atveju vėlavimas viršijo 110 milisekundžių, o toks skirtumas, nors ir nedidelis, pasirodė pakankamai neįprastas, kad sukeltų įtarimų. Viena anomalija dar nieko neįrodo, tačiau ji tapo startu platesnei analizei.
Tyrimas parodė paradoksą, kompiuteris buvo priskirtas darbuotojui Arizonoje, bet realus valdymas vyko iš kitos šalies. Klaviatūra buvo JAV, o rankos greičiausiai jau nebe ten. Tokia schema remiasi tarpininku, kuris fiziškai turi įrangą, o tikrasis operatorius prie jos prisijungia per kelis tarpininkavimo sluoksnius, kad būtų sunkiau atsekti.
Kaip išdavė uždelstas signalas?
„Amazon“ atvejį iškėlė ne vienas indikatorius, o kelių signalų kombinacija, kur uždelsti signalo matavimai veikė kaip pirminis atrankos filtras. Kai sistema užfiksuoja neįprastą ryšio vėlavimą, įsijungia papildomos patikros, analizuojami darbo modeliai, prisijungimų įpročiai ir elgesio detalės.
Taip iš pirmo žvilgsnio menka techninė smulkmena tampa siūlo galu, vedančiu į didesnį paveikslą. Svarbu ir tai, kad tokie atvejai dažnai atrodo įtikinamai, nes naudojami solidūs gyvenimo aprašymai, kartais net realios rekomendacijos, o neretai ir svetima tapatybė.
Dėl to vien formalus įdarbinimo procesas nebūtinai apsaugo, ypač kai žmogus dirba nuotoliu ir rezultatai iš pirmo žvilgsnio atrodo tvarkingi. Tik nuoseklus anomalijų stebėjimas leidžia pastebėti, kad už ekranų gali būti visai kitas asmuo.
Pasak teksto, nuo 2024 metų balandžio „Amazon“ užblokavo daugiau nei 1800 bandymų infiltruotis iš „KRLD“, o jų skaičius auga ketvirtis iš ketvirčio. Tokiose operacijose tikslas dažnai yra uždirbti valiutos režimui, apeinant sankcijas, tačiau šalia gali eiti ir klasikinis šnipinėjimas bei potencialus sabotažas. Todėl tai labiau primena organizuotą programą, o ne pavienį gudruolį, kuris netyčia praslydo pro atranką.
Kalba ir elgsena kaip detektoriaus
Įdomu tai, kad demaskavimas remiasi ne tik technologija, bet ir žmogiškais signalais, pavyzdžiui, keistu amerikietiškų posakių vartojimu, netikėtomis sakinių konstrukcijomis ar netiksliu artikelių naudojimu anglų kalboje.
Tokios detalės gali atrodyti nereikšmingos, tačiau aukštos kvalifikacijos komandose jos išryškėja, nes lyginamas ne vien turinys, o ir stilius, reakcijų ritmas, bendravimo įpročiai. Gyvenimo aprašymą galima suklastoti, bet nuosekliai suvaidinti kultūrinį kontekstą ilgą laiką yra daug sunkiau.
„Amazon“ nėra vienintelis taikinys, o greičiau pavyzdys, kad problema egzistuoja ir kad ją galima fiksuoti, jei įmonė iš anksto numato tokį scenarijų. Tekste minimas ir „FBI“, kuris viešai kalba apie panašiose operacijose naudojamos įrangos konfiskavimą, o prie tokių valstybių priskiriamos ir kitos šalys.
Esminė išvada paprasta, saugumas prasideda nuo prielaidos, kad grėsmė reali, nes jei jos nesitiki, net ir gerai dirbantis „darbuotojas“ gali būti visiškai ne tas, kuo dedasi.
