Nordkorea har angiveligt været i gang med at rekruttere freelancere for at bruge deres identiteter til at sikre sig IT-roller, hvilket er en ændring af strategi fra deres tidligere metode med at bruge falske identiteter til at få fjernroller. Denne strategi inkluderer nu direkte kontakt med potentielle freelancere på rekrutteringsplatforme som Upwork, Freelancer og GitHub, hvor samtalen skifter til Telegram eller Discord. Her får freelancerne hjælp til at opsætte fjernadgangsværktøjer og bekræfte deres identiteter.
Proxyidentiteter i IT-operationer
Heiner Garcia, en ekspert i cybertrusselsefterretning hos Telefonica og en forsker i blockchain-sikkerhed, afslørede, at nordkoreanske operatører nu undgår verifikationshindringer ved at arbejde med legitime brugere, der tilbyder fjernadgang til deres systemer. Interessant nok får disse brugere kun 20% af indtægterne, mens resten omdirigeres til operatørerne gennem kryptovalutaer eller almindelige bankkonti.
Ved at udnytte faktiske identiteter og lokale internetforbindelser omgår disse IT-operatører effektivt mekanismer designet til at markere visse geografier som højrisiko og identificere brugen af VPN’er. Denne opdatering i taktikker illustrerer en betydelig ændring i måden, hvorpå nordkoreanske IT-operatører arbejder og viser en øget sofistikation i at undgå opdagelse.
At narre freelancere til ulovlige opgaver
Tidligere i år oprettede Garcia et falskt kryptofirma og gennemførte et interview med en nordkoreansk operatør, der angiveligt søgte et fjernarbejdsteknologijob. Interviewpersonen hævdede at være japaner, men afsluttede pludselig opkaldet, da han blev bedt om at præsentere sig selv på japansk. Alle disse virkelige eksempler peger på, at mange individer bliver narret til ubevidst at fungere som proxyer for nordkoreanske operatører. De tror, at de indgår i normale underentrepriseaftaler.
Ofre og gerningsmænd i bedrageriet
Optegnelser af chatlogfiler, der blev gennemgået, antyder, at disse rekrutterede proxyer for det meste ikke selv er teknisk kyndige. De stiller grundlæggende forretningsrelaterede spørgsmål, udfører ikke selv teknisk arbejde og lader operatøren arbejde og levere under deres navne. Mens mange synes at være uvidende ofre for situationen, viser nogle fuld kendskab til deres involvering i skemaet.
Matthew Isaac Knoot fra Nashville blev arresteret af den amerikanske justitsministerium i august 2024 for at køre en laptop-farm, der gjorde det muligt for nordkoreanske IT-operatører at lancere deres operationer, mens de fremstod som amerikansk-baserede medarbejdere ved hjælp af stjålne identiteter. I en identisk sag blev Christina Marie Chapman i Arizona idømt mere end otte års fængsel for at styre en lignende operation, der kanaliserede over $17 millioner til Nordkorea.
At opnå en virksomhedsfodfæste
Nordkorea har angiveligt forsøgt i årevis at infiltrere tech- og kryptobrancher for at generere indtægter og sikre virksomhedsfodfæste uden for sine grænser. Denne seneste strategi med at bruge freelanceres identiteter er blot et andet bevismæssigt milepæl på denne rejse. Disse IT-opgaver og kryptotyverier, ifølge De Forenede Nationer, giver finansiering til landets missil- og våbenprogrammer.
Udover krypto
Garcias forskning og efterfølgende rapporter antyder, at brugen af freelanceres identiteter ikke kun er begrænset til kryptoverdenen. Den strækker sig til ethvert job, som disse operatører kan få adgang til, herunder arkitektur, design, kundeservice osv. Påvisning af disse uhyggelige handlinger sker normalt først, når usædvanlig adfærd udløser detektionsmekanismer, kun for operatøren at skifte til en ny identitet og fortsætte cyklussen.
Vigtige takeaways
Besværligt som det kan synes, gør denne shuffle af identiteter det vanskeligt at tilskrive og retsforfølge de personer, der virkelig er ansvarlige. Personer, hvis identiteter bruges, bliver ofte bedraget, mens den faktiske person bag tastaturet opererer fra et andet land og forbliver usynlig for freelancing-platforme og klienter. Den afgørende variabel i alle disse operationer er anmodningen om at installere fjernadgangssoftware eller lade nogen arbejde fra din verificerede konto – en legitim ansættelsesproces ville ikke kræve kontrol over din enhed eller identitet.
