Nord-Korea har angivelig rekruttert frilansere til å bruke deres identiteter for å sikre seg IT-roller, en endring av strategi fra deres tidligere metode med å bruke fabrikkerte identiteter for å skaffe seg fjernroller. Denne strategien inkluderer nå direkte kontakt med potensielle frilansere på rekrutteringsplattformer som Upwork, Freelancer og GitHub, og flytter samtalen til Telegram eller Discord. Der blir frilanserne hjulpet med å sette opp verktøy for fjernaksess og verifisere sine identiteter.
Proxy-identiteter i IT-operasjoner
Heiner Garcia, en ekspert på cybertrusselinformasjon hos Telefonica og blockchain-sikkerhetsforsker, avslørte at nordkoreanske operatører nå unngår verifikasjonshindringer ved å jobbe med legitime brukere som tilbyr fjernadgang til sine systemer. Interessant nok får disse brukerne kun 20 % av inntektene, resten blir omdirigert til operatørene gjennom kryptovalutaer eller vanlige bankkontoer.
Ved å utnytte faktiske identiteter og lokale internettforbindelser, omgår disse IT-operatørene effektivt mekanismer designet for å merke visse geografier som høyrisikoområder og identifisere bruk av VPN. Denne oppdateringen i taktikk illustrerer en betydelig endring i måten nordkoreanske IT-operatører arbeider på og viser en økt sofistikering for å unngå oppdagelse.
Lure frilansere til ulovlige oppdrag
Tidligere i år opprettet Garcia et falskt kryptoselskap og gjennomførte et intervju med en nordkoreansk operatør som angivelig så etter en fjern teknisk jobb. Intervjuobjektet hevdet å være japansk, men avsluttet plutselig samtalen da han ble bedt om å introdusere seg selv på japansk. Alle disse virkelige eksemplene peker på at mange individer blir lurt til å uvitende handle som proxy for nordkoreanske operatører. De tror de deltar i vanlige underentreprenøravtaler.
Ofre og gjerningsmenn i svindelen
Opptegnelser av chatte-logger som er gjennomgått, tyder på at disse rekrutterte proxyene for det meste ikke er teknisk flinke selv. De stiller grunnleggende forretningsrelaterte spørsmål, gjør ingen teknisk arbeid selv, og lar operatøren arbeide og levere under deres navn. Mens mange ser ut til å være ofre uvitende om situasjonen, viser noen full kunnskap om deres involvering i ordningen.
Matthew Isaac Knoot fra Nashville ble arrestert av det amerikanske justisdepartementet i august 2024 for å ha drevet en bærbar PC-gård som tillot nordkoreanske IT-operatører å starte sine operasjoner mens de tilsynelatende var amerikansk-baserte ansatte ved å bruke stjålne identiteter. I en identisk sak ble Christina Marie Chapman i Arizona dømt til mer enn åtte års fengsel for å ha ledet en lignende operasjon som kanaliserte over 17 millioner dollar til Nord-Korea.
Få en bedriftsposisjon
Nord-Korea har angivelig forsøkt i årevis å infiltrere teknologi- og kryptobransjer for å generere inntekt og sikre bedriftsposisjoner utenfor sine grenser. Denne nyeste strategien med å bruke frilanseres identiteter er bare en annen beviselig milepæl på denne reisen. Disse IT-oppgavene, og kryptotyveri, gir ifølge FN finansiering for landets missile og våpenprogrammer.
Utover krypto
Garcias forskning og påfølgende rapporter antyder at bruken av frilanseres identiteter ikke er begrenset til kryptoverdenen alene. Det strekker seg til enhver jobb disse operatørene kan få tilgang til, inkludert arkitektur, design, kundeservice, osv. Oppdagelse av disse skadelige handlingene skjer vanligvis først etter at uvanlig oppførsel utløser oppdagelsesmekanismer, bare for operatøren å bytte til en ny identitet og fortsette syklusen.
Viktige punkter
Så tungvint som det kan virke, kompliserer denne forskyvningen av identiteter attribusjon og rettsforfølgelse av de individene som virkelig er ansvarlige. Folk hvis identiteter blir brukt blir ofte lurt, mens den faktiske personen bak tastaturet opererer fra et annet land og forblir usynlig for frilansplattformer og klienter. Den viktigste variabelen i alle disse operasjonene er forespørselen om å installere fjernaksessprogramvare eller å la noen arbeide fra din verifiserte konto – en legitim ansettelsesprosess vil ikke kreve kontroll over enheten din eller identiteten din.
