Личности более 80 американцев украдены для северокорейских мошеннических схем с IT-работниками

В течение многих лет правительство Северной Кореи находило растущий источник доходов, позволяющих обойти санкции, поручая своим гражданам тайно подавать заявки на удаленную работу в сфере технологий на Западе . Недавно раскрытая операция по пресечению, проведенная американскими правоохранительными органами, ясно показывает, какая часть инфраструктуры, используемой для реализации этих схем, находилась в Соединенных Штатах, и сколько личных данных американцев были украдены северокорейскими самозванцами для их осуществления.

В понедельник Министерство юстиции объявило о широкомасштабной операции по пресечению американских элементов северокорейской схемы удаленных ИТ-работников, включая предъявление обвинений двум американцам, которые, по словам правительства, были причастны к операциям, — одного из них арестовало ФБР. Власти также провели обыск на 29 «фермах ноутбуков» в 16 штатах, которые предположительно использовались для получения и размещения ПК, к которым северокорейские работники получали удаленный доступ, и изъяли около 200 из этих компьютеров, а также 21 веб-домен и 29 финансовых счетов, на которые поступали доходы от операции. Заявление и обвинительные заключения Министерства юстиции также раскрывают, как северокорейцы не просто создавали поддельные удостоверения личности, чтобы проникнуть в западные технологические компании, по словам властей, но и якобы украли личности «более 80 граждан США», чтобы выдавать себя за них на рабочих местах в более чем ста американских компаниях и перекачивать деньги режиму Кима.

«Это колоссально», — говорит Майкл Барнхарт, следователь по северокорейскому хакерству и шпионажу в DTEX, фирме по безопасности, которая занимается внутренними угрозами. «Когда у вас есть такая ферма ноутбуков, это уязвимое место этих операций. Прекращение их работы в стольких штатах — это колоссально».

В общей сложности, по словам Министерства юстиции, оно идентифицировало шесть американцев, которые, по его мнению, были вовлечены в схему, позволяющую северокорейским фальсификаторам технических работников, хотя только двое были названы и обвинены в совершении преступления — Кэцзя Ван и Чжэньсин Ван, оба из Нью-Джерси, — и только Чжэньсин Ван был арестован. Прокуроры обвиняют двух мужчин в содействии краже личных данных десятков американцев, которые северокорейцы считали своими, получении ноутбуков, отправленных им их работодателями, настройке удаленного доступа для северокорейцев для управления этими машинами со всего мира — часто обеспечивая этот удаленный доступ с помощью аппаратного устройства, называемого «переключатель клавиатура-видео-мышь» или KVM — и создании подставных компаний и банковских счетов, которые позволяли правительству Северной Кореи получать зарплаты, которые они якобы зарабатывали. Министерство юстиции заявляет, что двое американцев также работали с шестью названными китайскими сообщниками, согласно обвинительным документам, а также с двумя гражданами Тайваня.

Чтобы создать прикрытие для северокорейских рабочих, прокуроры говорят, что двое Вангов получили доступ к личным данным более 700 американцев в поисках личных записей. Но в отношении лиц, за которых выдавали себя северокорейцы, они якобы пошли гораздо дальше, используя сканы водительских прав и карт социального обеспечения жертв кражи личных данных, чтобы северокорейцы могли подавать заявки на работу под их именами, согласно Министерству юстиции.

Из обвинительных документов не ясно, как именно были получены эти личные документы. Но Барнхарт из DTEX говорит, что северокорейские операции по подделке обычно получают идентификационные документы американцев с форумов киберпреступников в даркнете или с сайтов утечки данных. Фактически, он говорит, что более 80 украденных идентификационных данных, на которые ссылается Министерство юстиции, представляют собой крошечную выборку из тысяч американских идентификационных данных, которые он видел в некоторых случаях из инфраструктуры северокорейских хакерских операций.

«У них есть целый арсенал таких людей», — говорит Барнхарт. «В любом месте, где преступник собирается получить удостоверение личности, они просто прицепятся, потому что тогда им даже не придется совершать взлом. Он уже там». Барнхарт говорит, что видел, как северокорейские самозванцы заходили так далеко, что проверяли свои украденные удостоверения на наличие криминального прошлого и даже выдавали себя за американцев, которые живут в штатах без подоходного налога, чтобы максимизировать свои доходы.

В отличие от обвинений Министерства юстиции против Кэцзя Вана и Чжэньсина Вана, прокуроры также объявили, что ФБР провело обыски в 21 другой подозреваемой ферме ноутбуков в 14 штатах США и изъяло около 137 ПК, которые, по словам прокуроров, использовались в северокорейских схемах удаленной работы. В двух других случаях прокуроры говорят, что северокорейцы использовали инсайдерский доступ, который они получили, выдавая себя за западных технических работников в криптофирмах, чтобы украсть средства на сумму более 900 000 долларов, включая около 740 000 долларов, украденных у одной компании из Атланты.

Хотя большинство северокорейских схем маскировки, которые Министерство юстиции стремилось пресечь, по-видимому, были сосредоточены на деньгах, прокуроры также отмечают, что одна из компаний, в которую северокорейские рабочие проникли в ходе операции, предположительно организованной двумя Ванами, была базирующимся в Калифорнии оборонным подрядчиком, сосредоточенным на технологиях, связанных с ИИ. В этом случае правительство утверждает, что северокорейские маскировки также получили доступ и, вероятно, украли технические данные, включая некоторую информацию, достаточно конфиденциальную, чтобы ее можно было защитить в соответствии с экспортным контролем, известным как Международные правила торговли оружием, или ITAR.

Хотя рейды, обвинительные заключения и аресты, проведенные Министерством юстиции и ФБР, являются значительными, говорит Барнхарт из DTEX, они далеки от завершения попыток Северной Кореи внедриться в западные и, в частности, американские компании, как с целью получения прибыли, так и с целью шпионажа. В конце концов, только один подозреваемый находится под стражей даже среди лиц, названных Министерством юстиции, и бесчисленное множество северокорейцев, вовлеченных в подобные схемы, остаются нетронутыми в пределах границ режима и в соседних регионах Китая, где они действуют.

«Это нанесет серьезный удар по тому, что они делают», — говорит Барнхарт. «Но по мере того, как мы адаптируемся, они адаптируются».