Північнокорейці використовують підроблені імена, щоб отримати віддалену роботу в ІТ

Використовуючи підроблені імена, фіктивні профілі LinkedIn, підроблені робочі документи та імітаційні сценарії співбесід, північнокорейські ІТ-працівники, які шукають роботу в західних технологічних компаніях, використовують складні хитрощі, щоб отримати роботу.

Знайти роботу за межами Північної Кореї, щоб таємно заробити тверду валюту для ізольованої країни, вимагає добре розроблених стратегій, щоб переконати західних менеджерів з найму, згідно з документами, які переглянув Reuters, інтерв’ю з колишнім північнокорейським ІТ-працівником і дослідниками кібербезпеки.

За даними Сполучених Штатів, Південної Кореї та ООН, Північна Корея відправила тисячі працівників інформаційних технологій за кордон, зусилля, які прискорилися за останні чотири роки, щоб залучити мільйони для фінансування ракетно-ядерної програми Пхеньяна.

«Люди вільні висловлювати ідеї та думки», — йдеться в одному сценарії інтерв’ю, який використовують північнокорейські розробники програмного забезпечення, у якому пропонуються пропозиції щодо того, як описати «хорошу корпоративну культуру», коли запитують. За вільне висловлення думок у Північній Кореї можна було покарати ув’язненням.

Сценарії загальною кількістю 30 сторінок були виявлені дослідниками Palo Alto Networks (PANW.O) , американської фірми з кібербезпеки, яка виявила кеш внутрішніх документів в Інтернеті, які детально описують роботу віддаленої ІТ-спеціалісти Північної Кореї.

Документи містять десятки фальшивих резюме, онлайн-профілів, записів про співбесіди та підроблених ідентифікаційних даних, які північнокорейські працівники використовували для влаштування на роботу в розробку програмного забезпечення.

Агентство Reuters знайшло додаткові докази в витоку даних темної мережі, які розкрили деякі інструменти та методи, які використовували північнокорейські робітники, щоб переконати фірми найняти їх на роботу в такі країни, як Чилі, Нова Зеландія, Сполучені Штати, Узбекистан та Об’єднані Арабські Емірати.

Документи та дані розкривають інтенсивні зусилля та хитрощі, вжиті владою Північної Кореї, щоб забезпечити успіх схеми, яка стала життєво важливою рятівною колою іноземної валюти для безготівкового режиму.

Місія Північної Кореї в ООН не відповіла на запит про коментар.

Віддалені ІТ-працівники можуть заробляти в десять разів більше, ніж заробляє звичайний північнокорейський робітник, який працює за кордоном на будівництві чи іншій фізичній роботі, заявило Міністерство юстиції США (DOJ) у 2022 році, і команди з них можуть разом заробляти понад 3 мільйони доларів на рік.

Reuters не вдалося визначити, скільки ця схема принесла за ці роки.

Деякі сценарії, призначені для підготовки працівників до запитань на співбесіді, містять виправдання необхідності працювати віддалено.

«Річард», старший розробник вбудованого програмного забезпечення, сказав: «Я (прилетів) до Сінгапуру кілька тижнів тому. Мої батьки захворіли на Covid, і я (вирішив) деякий час побути з членами сім’ї. Тепер я планую повернутися в Лос Анджелесі через три місяці. Я думаю, що я міг би почати працювати віддалено прямо зараз, тоді я буду на борту, коли повернуся до Лос-Анджелеса».

Північнокорейський ІТ-працівник, який нещодавно втік, також перевірив документи та підтвердив Reuters їхню автентичність: «Ми створювали від 20 до 50 фальшивих профілів на рік, поки нас не найняли», — сказав він.

Він переглянув сценарії, дані та документи та сказав, що це було те саме, що він робив, оскільки він упізнав використану тактику та техніку.

«Як тільки мене взяли на роботу, я б створив ще один фейковий профіль, щоб отримати другу роботу», — сказав працівник, який побажав залишитися анонімним, посилаючись на проблеми безпеки.

У жовтні Міністерство юстиції та Федеральне бюро розслідувань (ФБР) конфіскували 17 доменів веб-сайтів, які, як вони стверджували, використовувалися північнокорейськими ІТ-працівниками для шахрайства бізнесу та 1,5 мільйона доларів США.

Міністерство юстиції заявило, що північнокорейські розробники, які працювали в американських компаніях, ховалися за електронною поштою та обліковими записами в соціальних мережах під псевдонімами та отримували мільйони доларів на рік від імені північнокорейських організацій, які перебувають під санкціями.

«Існує ризик для уряду Північної Кореї, оскільки ці привілейовані працівники стикаються з небезпечними реаліями про світ і примусову відсталість їхньої країни», — заявили в Sokeel Park of Liberty у Північній Кореї (ПОСИЛАННЯ), організації, яка працює з перебіжчиками.

ГРОШІ

Минулого року уряд США заявив, що ІТ-працівники Північної Кореї в основному знаходяться в Китаї та Росії , деякі в Африці та Південно-Східній Азії, і кожен може заробляти до 300 000 доларів на рік.

Згідно зі своїм досвідом, колишній ІТ-працівник сказав, що всі мають заробити щонайменше 100 000 доларів, з яких 30-40% повертаються до Пхеньяну, 30-60% витрачаються на накладні витрати, а 10-30% кладуть собі в кишені працівники.

За його оцінками, за кордоном було близько 3000 інших, подібних до нього, і ще 1000 – у Північній Кореї.

"Я працював, щоб заробити іноземну валюту", - сказав він Reuters. «Це різниться між людьми, але, загалом, отримавши віддалену роботу, ви можете працювати лише шість місяців або три-чотири роки».

«Коли ви не можете знайти роботу, ви фрілансер».

Дослідники, що входять до відділу кібердосліджень Unit 42 Пало-Альто, зробили це відкриття, досліджуючи кампанію північнокорейських хакерів, спрямовану на розробників програмного забезпечення.

Один із хакерів залишив документи відкритими на сервері, повідомляє Unit 42, вказуючи на наявність зв’язків між хакерами Північної Кореї та її ІТ-працівниками, хоча перебіжчик сказав, що шпигунські кампанії були для обраних: «Хакери навчаються окремо. Ці місії є не дано таким людям, як ми", - сказав він.

Все-таки кросовер є. Міністерство юстиції та ФБР попередили, що ІТ-працівники Північної Кореї можуть використовувати доступ, щоб зламати своїх роботодавців, і деякі з оприлюднених резюме вказують на досвід роботи в криптовалютних фірмах, галузі, яка вже давно є мішенню північнокорейських хакерів.

ФАЛЬШИВІ ОСОБИ

Дані Constella Intelligence, фірми з розслідування особи, показали, що один із працівників мав облікові записи на понад 20 веб-сайтах фрілансерів у Сполучених Штатах, Великобританії, Японії, Узбекистані, Іспанії, Австралії та Новій Зеландії.

Працівник не відповів на запит про коментар, надісланий електронною поштою.

Дані, зібрані з витоків у темній мережі, також виявили обліковий запис на веб-сайті, де продаються цифрові шаблони для створення реалістичних підроблених документів, що посвідчують особу, включаючи водійські права США, візи та паспорти, виявило Reuters.

Документи, знайдені підрозділом 42, включали резюме на 14 осіб, підроблену грін-карту США, сценарії співбесід і докази того, що деякі працівники купили доступ до законних онлайн-профілів, щоб виглядати більш справжніми.

«Річард» із Сінгапуру, який шукав віддалену роботу в ІТ, здавалося, посилався на підроблений профіль на ім’я «Річард Лі» – те саме ім’я на зеленій картці. Міністерство внутрішньої безпеки США не відповіло на запит про коментар.

Reuters знайшов обліковий запис LinkedIn Річарда Лі з такою ж фотографією профілю, який вказав досвід роботи в Jumio, компанії цифрової перевірки особистості.

"У нас немає жодних записів про те, щоб Річард Лі був нинішнім або колишнім співробітником Jumio", - сказав представник Jumio. «Jumio не має жодних доказів, які б свідчили про те, що в компанії коли-небудь були співробітники з Північної Кореї».

Агентство Reuters надіслало повідомлення обліковому запису LinkedIn з проханням прокоментувати, але не отримало відповіді. LinkedIn видалив обліковий запис після отримання запиту від Reuters на коментар.

«Наша команда використовує інформацію з різних джерел для виявлення та видалення підроблених облікових записів, як ми зробили в цьому випадку», — сказав речник.