Escrocii IT din Coreea de Nord vizează acum întreprinderile europene. Cum reușesc să păcălească angajatorii pentru a obține locuri de muncă

Cyborgii IT din Coreea de Nord, implicați în escrocherii, furturi și atacuri cibernetice, au început să țintească companii europene pentru a se angaja, conform rapoartelor publicate de The Register.

Regimul izolat din Coreea de Nord a creat un grup de agenți care aplică pentru locuri de muncă la distanță în sectorul tehnologic. Odată angajați, aceștia își direcționează salariile către administrația lui Kim Jong Un. Unii dintre ei instalează malware pe calculatoarele companiilor victime, furișând datele angajatorilor și solicitând răscumpărări.

În cele mai favorabile cazuri, acești angajați nu-și îndeplinesc sarcinile decât după ce sunt concediați sau o fac într-o manieră minimă, adesea pentru a putea primi salarii de la mai mulți angajatori simultan.

Muncitorii trimit CV-uri atrăgătoare și, dacă ajung la interviu, încearcă să-și camufleze accentul și apariția.

Mecanismele de operare ale „IT”-iștilor nord-coreeni

Una dintre strategiile preferate ale acestora este să declare că webcam-ul lor este defect, astfel încât să evite întâlnirile video în cadrul interviurilor. De asemenea, aceștia folosesc inteligența artificială generativă pentru a crea imagini de profil și pentru a oferi răspunsuri în timpul interviurilor.

După ce sunt angajați, acești IT-iști falși pot face greșeli, cum ar fi să ceară ca laptopul de muncă furnizat de angajator să fie trimis la o altă adresă decât cea menționată în CV. Acest lucru poate semnala utilizarea unui intermediar local care menține laptopul conectat la internet și la rețeaua corporativă a angajatorului.

Nord-coreenii se conectează apoi prin VPN-uri la laptopurile angajatorului, asigurându-se că lucrează – sau cel puțin că par să lucreze – la orele locale. Intermediarii îi ajută de asemenea în transferul salariilor către Phenian.

Escrocheria a evoluat în ultimii ani, iar The Register și alte publicații de tehnologie au documentat cazuri în care chiar și unele companii de securitate cibernetică au căzut victime ale acestui grup operativ nord-coreean.

Nord-coreenii își extind activitățile în Europa

Recent, Jamie Collier, consilier principal în cadrul Google Threat Intelligence Group, a publicat un mesaj care semnalează "o creștere a operațiunilor active în Europa" din partea acestor muncitori.

„Activitatea muncitorilor IT din Coreea de Nord în mai multe țări îi transformă într-o amenințare globală”, subliniază acesta. „Deși Statele Unite continuă să fie o țintă majoră, în ultimele luni, muncitorii IT nord-coreeni au avut dificultăți în a găsi și a menține locuri de muncă în această țară. Aceasta ar putea fi o consecință a conștientizării crescute a amenințării, raportată de Departamentul de Justiție al SUA, și a verificărilor legale stricte în ceea ce privește dreptul la muncă”, explică el.

„Acești factori au determinat o expansiune globală a operațiunilor muncitorilor IT, cu un accent pe Europa”, adaugă Collier.

Specialiștii de la Google și partenerii gigantului tehnologic american au identificat muncitori IT nord-coreeni „în căutare de locuri de muncă în Germania și Portugalia” și au descoperit „date de conectare pentru conturi utilizator pe platforme europene de recrutare și management al resurselor umane”.

Identități false și pașapoarte false descoperite în Serbia

Investigatori au descoperit „identități fabricate, inclusiv CV-uri cu diplome fake de la Universitatea din Belgrad, Serbia, și reședințe în Slovacia, precum și instrucțiuni pentru navigarea pe site-uri europene de angajare.”

„Un document conținea instrucțiuni precise despre cum să obțină locuri de muncă în Serbia, inclusiv utilizarea fusului orar sârbească în comunicare.”

Au fost, de asemenea, găsite informații despre obținerea de pașapoarte false, probabil pentru ca nord-coreenii să prezinte acte care să ateste dreptul la muncă sau să deschidă conturi bancare.

Agenții nord-coreeni își caută joburi pe platforme precum Upwork, Telegram și Freelancer. Unii dintre ei au solicitat să fie plătiți în criptomonede sau prin servicii precum TransferWise și Payoneer.

SUA au luat măsuri împotriva grupului din Coreea de Nord

Google crede că a descoperit dovezi ale unor intermediari sofisticati în Marea Britanie.

„Un incident a implicat un muncitor IT din Coreea de Nord care a colaborat cu intermediari atât în Statele Unite, cât și în Regatul Unit. Un exemplu notabil a constat într-un laptop destinat utilizării corporative în New York, care a fost găsit funcționând în Londra, evidențiind un lanț logistic complex”, a afirmat Collier.

Experții de la Google consideră că muncitorii falși vizează acum companiile cu politici de tip „Bring Your Own Device” (folosește-ți propriul dispozitiv la muncă), deoarece, dacă pot folosi propriile laptopuri, este puțin probabil ca instrumentele de management IT ale companiei să interfereze. Aceasta înseamnă că angajatorii nu trebuie să trimită un laptop, ceea ce ar putea crea dificultăți în identificarea unui angajat suspect.

Specialiștii cred că vor fi necesare investigații suplimentare, având în vedere că observațiile sugerează că falsificatorii nord-coreeni vizează din ce în ce mai mult angajatori mari și recurg la șantaj.

„În cazul acestor incidente, muncitorii IT concediați recent au amenințat că vor dezvălui date confidențiale ale foștilor angajatori sau că le vor oferi unor concurenți. Aceste date includeau informații proprietare și cod sursă pentru proiecte interne”, a precizat Collier, sugerând că această creștere a tentativelor de șantaj ar putea avea legătură cu intensificarea acțiunilor autorităților din SUA împotriva muncitorilor falși, care îi determină să-și protejeze veniturile ilicite.

FBI a emis recomandări despre cum pot fi identificați muncitorii IT falși din Coreea de Nord, printre semnele relevante numărându-se evitarea întâlnirilor în persoană, schimbarea metodelor de plată preferate pe platformele de freelancing și absența imaginilor în profilurile online.