Сообщается, что Северная Корея привлекает фрилансеров, чтобы использовать их идентичности для получения IT-ролей, что стало изменением стратегии по сравнению с их предыдущими методами использования поддельных идентификаций для получения удаленной работы. Эта стратегия теперь включает прямой контакт с потенциальными фрилансерами на таких платформах, как Upwork, Freelancer и GitHub, с последующим переходом общения в Telegram или Discord. Там фрилансерам помогают настраивать средства удаленного доступа и проверять их идентичности.
Прокси-идентичности в IT-операциях
Хайнер Гарсия, эксперт по киберугрозам в Telefonica и исследователь безопасности блокчейна, раскрыл, что северокорейские агенты теперь обходят проверки, работая с легитимными пользователями, которые предоставляют удаленный доступ к их системам. Интересно, что эти пользователи получают лишь 20% заработка, остальное перенаправляется агентам через криптовалюты или обычные банковские счета.
Используя реальные идентичности и локальные интернет-соединения, эти IT-агенты эффективно обходят механизмы, предназначенные для обозначения определенных географических зон как высокорисковых и выявления использования VPN. Это обновление тактик иллюстрирует значительное изменение в способах работы северокорейских IT-агентов и показывает повышенную изощренность для избежания обнаружения.
Обман фрилансеров для выполнения незаконных задач
В начале этого года Гарсия создал фиктивную криптокомпанию и провел интервью с северокорейским агентом, якобы искавшим удаленную техническую работу. Собеседник утверждал, что он японец, но внезапно прервал звонок, когда его попросили представиться на японском языке. Все эти примеры из реальной жизни указывают на то, что многие люди обманным путем становятся прокси для северокорейских агентов. Они считают, что участвуют в обычных договоренностях о субподряде.
Жертвы и преступники в мошенничестве
Записи чатов показывают, что эти привлеченные прокси в большинстве своем не разбираются в технических вопросах. Они задают простейшие бизнес-вопросы, не выполняют никакой технической работы сами и позволяют агенту работать и выполнять задачи под их именами. Хотя многие кажутся жертвами, не осведомленными о ситуации, некоторые полностью осознают свое участие в схеме.
Мэтью Исаак Кнут из Нэшвилла был арестован Министерством юстиции США в августе 2024 года за организацию фермы ноутбуков, позволяющую северокорейским IT-агентам запускать свои операции, представляя себя сотрудниками из США, работая с использованием украденных личных данных. В подобном случае Кристина Мари Чапман из Аризоны была приговорена к более чем восьми годам тюремного заключения за управление аналогичной операцией, через которую в Северную Корею было переведено более 17 миллионов долларов.
Получение корпоративной опоры
Сообщается, что в течение многих лет Северная Корея пыталась проникнуть в технические и криптоиндустрии, чтобы зарабатывать средства и закрепляться в корпоративной среде за пределами своих границ. Эта последняя стратегия использования идентичностей фрилансеров — очередная веха на этом пути. Эти IT-задачи и кража криптовалюты, по данным ООН, обеспечивают финансирование ракетной и оружейной программ страны.
За пределами криптовалюты
Исследования Гарсии и последующие отчеты свидетельствуют о том, что использование фрилансерских идентичностей не ограничивается только криптомиром. Это распространяется на любые доступные рабочие места для этих агентов, включая архитектуру, дизайн, обслуживание клиентов и т.д. Обнаружение этих противоправных действий происходит обычно только после того, как необычное поведение активирует механизмы обнаружения, и агент переключается на новую идентичность и продолжает цикл.
Ключевые выводы
Насколько бы это ни казалось утомительным, такая подмена идентичностей усложняет атрибуцию и преследование действительно ответственных лиц. Люди, чьи идентичности используются, часто обмануты, в то время как настоящий человек за клавиатурой работает из другой страны и остается невидимым для фрилансинговых платформ и клиентов. Ключевым фактором у всех этих операций является просьба установить программное обеспечение удаленного доступа или позволить кому-то работать с вашего проверенного аккаунта — легитимный процесс найма не будет требовать контроля над вашим устройством или идентичностью.
