Identiteit van meer dan 80 Amerikanen gestolen voor oplichting met Noord-Koreaanse IT-medewerkers

Jarenlang heeft de Noord-Koreaanse overheid een groeiende bron van inkomsten gevonden om sancties te ontduiken door haar burgers te dwingen in het geheim te solliciteren naar banen in de techwereld op afstand in het Westen . Een onlangs onthulde operatie van de Amerikaanse politie maakt duidelijk hoeveel van de infrastructuur die voor deze praktijken wordt gebruikt, zich in de Verenigde Staten bevindt – en hoeveel Amerikaanse identiteiten door de Noord-Koreaanse imitators zijn gestolen om ze uit te voeren.

Maandag kondigde het ministerie van Justitie een ingrijpende operatie aan om hard op te treden tegen de in de VS gevestigde elementen van de Noord-Koreaanse regeling voor thuiswerkers in de IT. Dit omvatte onder meer aanklachten tegen twee Amerikanen die volgens de overheid betrokken waren bij de operaties – van wie er één door de FBI is gearresteerd. De autoriteiten doorzochten ook 29 "laptopfarms" in 16 staten die naar verluidt werden gebruikt om de pc's te ontvangen en te hosten waar de Noord-Koreaanse werknemers op afstand toegang toe hadden. Ongeveer 200 van die computers, evenals 21 webdomeinen en 29 financiële rekeningen die de inkomsten uit de operatie hadden ontvangen, werden in beslag genomen. De aankondiging en aanklachten van het ministerie van Justitie onthullen ook hoe de Noord-Koreanen niet alleen valse identiteitsbewijzen hebben aangemaakt om zich bij westerse techbedrijven te identificeren, aldus de autoriteiten, maar ook naar verluidt de identiteit van "meer dan 80 Amerikanen" hebben gestolen om zich voor te doen als hen in banen bij meer dan honderd Amerikaanse bedrijven en geld naar het Kim-regime te sluizen.

"Het is enorm", zegt Michael Barnhart, een onderzoeker die zich richt op Noord-Koreaanse hacking en spionage bij DTEX, een beveiligingsbedrijf dat zich richt op insider threats. "Wanneer je zo'n laptopfarm hebt, is dat de onderliggende oorzaak van deze operaties. Ze in zoveel staten platleggen, is enorm."

In totaal zegt het ministerie van Justitie zes Amerikanen te hebben geïdentificeerd die volgens het ministerie betrokken waren bij een plan om Noord-Koreaanse techwerkers te imiteren, hoewel slechts twee van hen bij naam genoemd en strafrechtelijk vervolgd zijn – Kejia Wang en Zhenxing Wang, beiden gevestigd in New Jersey – en alleen Zhenxing Wang is gearresteerd. Het Openbaar Ministerie beschuldigt de twee mannen ervan te hebben geholpen bij het stelen van de identiteit van tientallen Amerikanen zodat de Noord-Koreanen deze konden aannemen, laptops te hebben ontvangen die hun werkgevers hen hadden toegestuurd, op afstand toegang te hebben ingesteld voor Noord-Koreanen om die apparaten van over de hele wereld te bedienen – vaak met behulp van een hardwareapparaat genaamd een "toetsenbord-video-muisschakelaar" of KVM – en lege vennootschappen en bankrekeningen te hebben opgericht waarmee de Noord-Koreaanse overheid de salarissen kon ontvangen die ze naar verluidt verdienden. Het ministerie van Justitie zegt dat de twee Amerikaanse mannen ook samenwerkten met zes genoemde Chinese samenzweerders, volgens de aanklachtdocumenten, evenals met twee Taiwanese staatsburgers.

Om de dekmantel voor de Noord-Koreaanse arbeiders te creëren, zouden de twee Wangs volgens aanklagers de persoonlijke gegevens van meer dan 700 Amerikanen hebben geraadpleegd in privédossiers. Maar wat betreft de personen die de Noord-Koreanen zich voordeden, zouden ze veel verder zijn gegaan. Ze zouden scans van de rijbewijzen en socialezekerheidskaarten van de slachtoffers van identiteitsfraude hebben gebruikt om de Noord-Koreanen in staat te stellen onder hun naam te solliciteren, aldus het Ministerie van Justitie.

Uit de aanklachtdocumenten blijkt niet duidelijk hoe die persoonlijke documenten naar verluidt zijn verkregen. Barnhart van DTEX zegt echter dat Noord-Koreaanse imitatieoperaties doorgaans de identificatiedocumenten van Amerikanen verkrijgen via cybercriminele fora op het dark web of via sites met datalekken. Sterker nog, hij zegt dat de meer dan 80 gestolen identiteiten die het ministerie van Justitie noemt slechts een kleine greep zijn uit de duizenden Amerikaanse identiteitsbewijzen die hij in sommige gevallen uit de infrastructuur van Noord-Koreaanse hackoperaties heeft zien komen.

"Ze hebben er een heleboel," zegt Barnhart. "Waar een crimineel ook een identiteitsbewijs kan bemachtigen, hij of zij lift gewoon mee, want dan hoeft hij of zij de inbraak niet eens uit te voeren. Het is er al." Barnhart zegt dat hij Noord-Koreaanse imitators zo ver heeft zien gaan dat ze hun gestolen identiteiten screenen op criminele antecedenten en er zelfs voor kiezen zich voor te doen als Amerikanen die in staten zonder inkomstenbelasting wonen om hun inkomsten te maximaliseren.

Los van de aanklachten van het Ministerie van Justitie tegen Kejia Wang en Zhenxing Wang, kondigden aanklagers ook aan dat de FBI 21 andere verdachte laptopfarms in 14 Amerikaanse staten had doorzocht en ongeveer 137 pc's in beslag had genomen die volgens aanklagers werden gebruikt voor Noord-Koreaanse praktijken met thuiswerkers. In twee andere gevallen, zeggen aanklagers, gebruikten Noord-Koreanen de insidertoegang die ze hadden verkregen door zich voor te doen als westerse techmedewerkers bij cryptobedrijven om meer dan $ 900.000 aan geld te stelen, waaronder ongeveer $ 740.000 gestolen van een bedrijf in Atlanta.

Hoewel de meeste Noord-Koreaanse imitatiepraktijken die het ministerie van Justitie probeerde te verstoren, gericht leken te zijn op geld, merken aanklagers ook op dat een van de bedrijven waar de Noord-Koreaanse werknemers inbraken tijdens de operatie die naar verluidt door de twee Wangs werd gefaciliteerd, een in Californië gevestigde defensieaannemer was die zich richtte op AI-gerelateerde technologie. In dat geval beweert de overheid dat de Noord-Koreaanse imitators ook toegang hadden tot en waarschijnlijk technische gegevens hebben gestolen, waaronder informatie die gevoelig genoeg was om beschermd te worden onder de exportcontroles die bekend staan ​​als de International Trafficking in Arms Regulations (ITAR).

Hoewel de invallen, aanklachten en arrestaties door het Ministerie van Justitie en de FBI aanzienlijk zijn, zegt Barnhart van DTEX, zijn ze nog lang niet het einde van Noord-Korea's pogingen om westerse en specifiek Amerikaanse bedrijven te infiltreren, zowel voor winst als voor spionage. Slechts één verdachte zit immers vast, zelfs onder de personen die het Ministerie van Justitie heeft genoemd – en talloze andere Noord-Koreanen die betrokken zijn bij dit soort praktijken blijven ongestraft binnen de grenzen van het regime en in de aangrenzende regio's van China waar ze actief zijn.

"Dit zal een flinke deuk slaan in wat ze doen", zegt Barnhart. "Maar naarmate wij ons aanpassen, passen zij zich ook aan."