USA: Rozbito siatkę północnokoreańskich fałszywych pracowników IT

Pracowali zdalnie w ponad 100 amerykańskich firmach. FBI i Departament Sprawiedliwości przejęły kilkaset laptopów i kont bankowych powiązanych z oszustwem.

Departament Sprawiedliwości USA ogłosił wczoraj przejęcie setek kont bankowych, fałszywych stron internetowych i laptopów używanych przez północnokoreańskich agentów podszywających się pod zdalnych pracowników branży IT. Dochody z tej działalności zasilały rzekomo program zbrojeń Korei Północnej. O sprawie pisze Politico.

Praca zdalna dla setek agentów

Według władz federalnych, około 100 amerykańskich firm – w tym koncerny z listy Fortune 500 – nieświadomie zatrudniało osoby związane z reżimem w Pjongjangu. Wśród nich znalazła się także pewna firma z Kalifornii, zajmująca się sprzętem opartym na sztucznej inteligencji. Jej dane techniczne zostały wykradzione i przekazane za granicę.

Agenci wykorzystywali skradzione tożsamości i narzędzia sztucznej inteligencji, aby pomyślnie przechodzić procesy rekrutacyjne. Schemat rozwinął się szczególnie dynamicznie po upowszechnieniu pracy zdalnej w czasie pandemii COVID-19.

Laptopy, konta, farmy

W ramach operacji służby przeszukały 29 tzw. „farm laptopów” w 16 stanach USA. FBI zabezpieczyło ok. 200 komputerów oraz dziesiątki kont finansowych i stron internetowych wykorzystywanych do prania pieniędzy.

W procederze brali udział nie tylko obywatele USA, ale także osoby z Chin, Zjednoczonych Emiratów Arabskich i Tajwanu. Umożliwiali oni północnokoreańskim agentom zdobycie pracy w amerykańskich firmach i przekazywanie środków finansowych do Korei Północnej.

Wśród aresztowanych znalazł się obywatel USA Zhenxing Wang. Oskarżono go o udział w wieloletnim spisku, który pozwolił zagranicznym agentom zdobyć zdalną pracę i zarobić ponad 5 milionów dolarów. Schemat obejmował kradzież tożsamości około 80 obywateli USA.

Kryptowaluty i kolejne akty oskarżenia

Czterech obywateli Korei Północnej zostało dodatkowo oskarżonych o kradzież 900 tys. dolarów w kryptowalutach z dwóch firm z siedzibą w stanie Georgia.

W ostatnich miesiącach Departament Sprawiedliwości podjął już działania przeciwko osobom prowadzącym „farmy laptopów”. Jedna z kobiet przyznała się w lutym do winy. Z jej domu północnokoreańscy pracownicy IT zarobili łącznie ponad 17,1 mln dolarów.

„Pracownicy IT z Korei Północnej oszukują amerykańskie firmy i kradną tożsamość obywateli, wspierając tym samym północnokoreański reżim” – podkreślił Brett Leatherman z FBI.

Nagroda i dalsze śledztwo

Departament Stanu USA przypomniał, że wciąż oferuje nagrodę w wysokości 5 milionów dolarów za informacje, które pomogą zakłócić północnokoreańskie operacje finansowe i inne nielegalne działania.

Śledztwo trwa. Według amerykańskich władz, każda firma współpracująca zdalnie z pracownikami branży IT może być potencjalnym celem.

Hakerzy z Korei Północnej podszywają się pod rekruterów na LinkedIn

W kwietniu serwis Cyberdefence24 informował, że specjaliści z Unit 42 w Palo Alto Networks ujawnili nową kampanię szpiegowską prowadzoną przez północnokoreańską grupę APT o nazwie Slow Pisces.

Hakerzy podszywają się pod rekruterów na platformie LinkedIn, aby nawiązać kontakt z deweloperami z branży kryptowalut i zaprosić ich do rzekomego procesu rekrutacyjnego.

Kluczowy moment ataku następuje podczas realizacji zadania technicznego. Ofiara otrzymuje link do dokumentacji na GitHubie. Może on prowadzić do pobrania złośliwego oprogramowania, które infekuje system operacyjny ofiary. Zadania rekrutacyjne bazują często na prawdziwych projektach open source, co zwiększa ich wiarygodność.

Eksperci wskazują, że w ostatnich miesiącach pojawiły się także inne kampanie powiązane z reżimem Korei Północnej, m.in. RustDoor (podszywający się pod aktualizację Visual Studio na macOS) czy działania grupy Sparkling Pisces wykorzystujące phishing.

Wszystkie te operacje są wymierzone w osoby z wiedzą techniczną, a ich celem jest uzyskanie nieautoryzowanego dostępu do danych, infrastruktury lub środków finansowych.