Много големи технологични компании в САЩ са назначавали дистанционни IT специалисти, които по-късно се оказват агенти на Северна Корея. Целта на схемата, покровителствана от най-високо държавно ниво, е проста: работещите дистанционно севернокорейски агенти получават високи заплати от американски компании и прехвърлят парите обратно в Северна Корея, където те се използват за финансиране на военната програма на режима. Това показва рерпортаж за IT сектора на Politico.
Според водещи американски експерти по киберсигурност измамата е много по-разпространена, отколкото се е смятало досега.
Засегнати са десетки от най-големите корпорации в САЩ. Проблемът се задълбочава от недостига на IT кадри и масовото преминаване към дистанционна работа след пандемията.
Агентите използвали фалшива самоличност, изкуствен интелект и помощ от американски съучастници. Създавани били „ферми за лаптопи“ – помещения в САЩ, където се поддържат включени десетки компютри, изпратени от работодателите за техните служители.
„Говорих с много директори по сигурността в големи компании и почти всички признаха, че поне веднъж са наемали севернокорейски IT работник“, казва пред журналистите Чарлз Кармакал, главен технологичен директор в Mandiant – компания за киберсигурност, част от Google Cloud.
Според Иън Мълхоланд, директор по сигурността на облачните системи в Google Cloud, дори в техните процеси на подбор са засичани подобни кандидати.
SentinelOne, американска компания, специализирана в защита на корпоративни системи и крайни устройства, също съобщава, че е била измамена. „Севернокорейското правителство използва тази схема с мащаб, какъвто не сме виждали досега“, казва пред Politico Брандън Уейлс, бивш шеф в американската Агенция за киберсигурност (CISA) и настоящ вицепрезидент в SentinelOne.
Севернокорейски агент създава фалшив профил в LinkedIn, представя се за американец и използва откраднати данни – социален номер, адрес, лични документи. Кандидатства за добре платени дистанционни позиции. Ако бъде поканен на дистанционно интервю, използва deepfake – видео и звук в реално време, с които имитира друг човек.
„Реални IT специалисти в САЩ дори не подозират, че самоличността им се използва“, казва Александър Лесли, анализатор в Recorded Future – компания, която следи за глобални киберзаплахи.
След като бъдат наети, агентите преминават процедурите по назначаване и искат служебният лаптоп да им бъде изпратен на американски адрес – често част от „ферма за лаптопи“, където платени съучастници поддържат устройствата включени и активни.
„В някои случаи говорим за по 90 лаптопа, които работят денонощно“, казва Адам Майерс от CrowdStrike – водеща компания за киберсигурност, която проследява случая от 2022 г.
Само в първата седмица от вътрешна проверка тя открива, че 30 компании вече са били засегнати от схемата.
По данни на ФБР и на министерствата на финансите и външните работи на САЩ, всеки такъв фалшив служител може да печели до 300 000 долара годишно. Парите често се използват директно за финансиране на оръжия и дори за лични нужди на управляващата фамилия Ким.
Компаниите рядко ги разпознават навреме, защото тези агенти се държат като добросъвестни служители – изпълняват задачите си, комуникират нормално онлайн и не предизвикват съмнения в работата си.
През февруари американката Кристина Чапман се призна за виновна, че три години е помагала на севернокорейски агенти – чрез кражба на самоличности и поддържане на ферма за лаптопи. Според обвинението схемата ѝ е генерирала над 17 милиона долара, като са били внедрени агенти в повече от 300 американски компании.
„Често тези хора работят на няколко места едновременно, за да изглеждат легитимни IT специалисти и да увеличат доходите си“, казва Грег Шломер, анализатор в Microsoft. „Говорим за хиляди фалшиви самоличности.“
През януари Министерството на правосъдието е повдигнало обвинения срещу двама американци, които в продължение на шест години са помагали на севернокорейски агенти да работят в над 60 американски компании и да получат възнаграждения на обща стойност над 800 000 долара.
Как се отчитат към режима в Северна Корея?
- До 90% от дохода се конфискува от правителството – според разузнавателни данни, работниците зад граница (включително дигиталните) са длъжни да изпращат почти всичко обратно. Задържат малко – за оцеляване и за да поддържат фалшивите самоличности.
- Съществуват централизирани структури в Северна Корея – като т.нар. "Bureau 121" или други звена на военния киберотдел, които управляват и контролират операциите.
- Използват криптовалути и мрежи от посредници – парите често се прехвърлят чрез крипто транзакции, след което се конвертират и пращат в страната чрез китайски или руски канали.
Дори след уволнение, агентите често оставят зловреден софтуер в системите на фирмите. Това им позволява да продължат да имат достъп до данни или да изнудват компаниите с искания за откуп.
„Те знаят, че рано или късно ще бъдат разкрити, но имат стратегия как да напуснат с печалба“, казва агентът на ФБР Елизабет Пелкър, по време на конференция в Сан Франциско.
Според експертите залавянето на хората, които поддържат фермите за лаптопи, е ключово за прекъсване на схемата.
„Ако ФБР арестува такъв човек и конфискува устройствата, схемата губи 10–15 активни „работни места“ и човек, в когото вече е инвестирано доверие“, казва Шломер. „Може да изглежда малко, но за тях това е сериозна загуба.“
Схемата вече се разпростира извън САЩ. Подобни случаи са наблюдавани във Великобритания, Полша, Румъния и в страни от Южна Азия.
Много компании мълчат, защото се страхуват от юридически последици – включително нарушения на санкциите срещу Северна Корея. Наемането дори по невнимание на такъв служител може да изложи фирмата на сериозни рискове от гледна точка на сигурността и спазването на международни разпоредби.
„Такъв агент получава достъп до всичките ви системи и ресурси. Вие му плащате, а парите отиват в Северна Корея. В същото време той извършва и шпионаж“, казва Лесли от Recorded Future.
Затова SentinelOne решава да говори открито. „Важно е да няма срам да се обсъжда това. Само с прозрачност можем да се справим с мащаба на проблема“, казва Брандън Уейлс.
Как Северна Корея обра Bybit: Най-голямата кражба на крипто в историята
Ако нашият сайт ви харесва, можете да се абонирате за седмичния ни нюзлетър тук:
