Noord-Korea heeft naar verluidt freelancers ingehuurd om hun identiteiten te gebruiken om IT-functies te bemachtigen, een strategiewijziging ten opzichte van hun eerdere methode om vervalste identificaties te gebruiken om externe rollen te verkrijgen. Deze strategie omvat nu direct contact met potentiële freelancers op wervingsplatforms zoals Upwork, Freelancer en GitHub, waarbij het gesprek wordt verplaatst naar Telegram of Discord. Daar worden de freelancers geholpen bij het instellen van tools voor externe toegang en het verifiëren van hun identiteiten.
Proxy-identiteiten in IT-operaties
Heiner Garcia, een expert in cyberdreigingsinformatie bij Telefonica en een onderzoeker op het gebied van blockchainbeveiliging, onthulde dat Noord-Koreaanse agenten nu verificatieobstakels omzeilen door samen te werken met legitieme gebruikers die externe toegang tot hun systemen bieden. Interessant genoeg ontvangen deze gebruikers slechts 20% van de inkomsten, de rest wordt via cryptocurrencies of reguliere bankrekeningen naar de agenten omgeleid.
Door gebruik te maken van feitelijke identiteiten en lokale internetverbindingen omzeilen deze IT-agenten efficiënt mechanismen die bepaalde geografieën als hoog risico markeren en het gebruik van VPN’s identificeren. Deze update in tactieken illustreert een significante verandering in de manier waarop Noord-Koreaanse IT-agenten werken en toont een grotere verfijning om detectie te vermijden.
Freelancers misleiden tot illegale taken
Eerder dit jaar richtte Garcia een nep-cryptobedrijf op en voerde een interview met een Noord-Koreaanse agent die naar verluidt op zoek was naar een externe technische baan. De geïnterviewde beweerde Japans te zijn, maar beëindigde plotseling het gesprek toen hem werd gevraagd zichzelf in het Japans voor te stellen. Al deze voorbeelden uit het echte leven wijzen erop dat veel individuen worden misleid om onwetend op te treden als proxy’s voor Noord-Koreaanse agenten. Ze geloven dat ze deelnemen aan normale onderaannemingsovereenkomsten.
Slachtoffers en daders in de oplichting
Uit de chatlogboeken die zijn doorgelicht, blijkt dat deze gerekruteerde proxy’s meestal zelf niet technisch onderlegd zijn. Ze stellen basisvragen die met het bedrijfsleven te maken hebben, doen zelf geen technisch werk en laten de agent werken en leveren onder hun naam. Hoewel velen slachtoffer lijken te zijn die zich niet bewust zijn van de situatie, zijn er enkelen die volledige kennis van hun betrokkenheid bij het complot tonen.
Matthew Isaac Knoot uit Nashville werd in augustus 2024 gearresteerd door het Amerikaanse ministerie van Justitie voor het runnen van een laptopboerderij die Noord-Koreaanse IT-agenten in staat stelde hun operaties op te starten terwijl ze zich voordeden als in de VS gevestigde werknemers die gestolen identiteiten gebruikten. In een identieke zaak werd Christina Marie Chapman in Arizona veroordeeld tot meer dan acht jaar gevangenisstraf voor het beheren van een soortgelijke operatie die meer dan $ 17 miljoen naar Noord-Korea leidde.
Een commerciële basis verwerven
Noord-Korea probeert naar verluidt al jaren de technologie- en crypto-industrieën te infiltreren om inkomsten te genereren en buiten haar grenzen vestigingen te verwerven. Deze nieuwste strategie om identiteiten van freelancers te gebruiken is slechts een ander bewijsbaar mijlpaal op deze reis. Deze IT-taken, en cryptodiefstal, volgens de Verenigde Naties, voorzien het land van financiering voor raket- en wapenprogramma’s.
Voorbij Crypto
Garcia’s onderzoek en daaropvolgende rapporten suggereren dat het gebruik van identiteiten van freelancers zich niet beperkt tot de cryptowereld alleen. Het strekt zich uit tot elke baan die deze agenten kunnen betreden, inclusief architectuur, design, klantenservice, enz. Detectie van deze duistere handelingen gebeurt meestal alleen nadat ongewoon gedrag detectiemechanismen triggert, waarna de agent overschakelt naar een nieuwe identiteit en de cyclus voortzet.
Belangrijke bevindingen
Hoe omslachtig het ook mag lijken, dit geschuif met identiteiten bemoeilijkt de toeschrijving en vervolging van de individuen die echt verantwoordelijk zijn. Mensen van wie de identiteiten worden gebruikt, worden vaak misleid, terwijl de feitelijke persoon achter het toetsenbord vanuit een ander land opereert en onzichtbaar blijft voor freelancing-platforms en klanten. De belangrijkste variabele in al deze operaties is het verzoek om software voor externe toegang te installeren of iemand van je geverifieerde account te laten werken – een legitiem wervingsproces zou geen controle over je apparaat of identiteit vereisen.
