IT-специалисты из Северной Кореи расширили свою деятельность за пределы США после ужесточения санкционного давления со стороны Вашингтона. Теперь такие кадры чаще устраиваются на работу в европейские компании.
Северокорейские специалисты скрывают свои настоящие личности и выдают себя за работников из других стран, чтобы обманом получить должности внештатных сотрудников в фирмах по всему миру и зарабатывать деньги для правящего режима КНДР. В СМИ этих специалистов называют «IT-воинами».
Исследователи кибербезопасности из Google Threat Intelligence Group (GTIC) указывают, что теперь северокорейские специалисты нацелились на компании в Германии, Португалии и Великобритании. Многим «IT-воинам» были предъявлены обвинения в США.
Ведущий консультант по разведке угроз GTIG Джейми Колльер сообщил, что в попытках закрепиться на должностях IT-специалисты из КНДР прибегали к обманным приёмам, ложно заявляя о гражданстве таких стран, как Италия, Япония, Малайзия, Сингапур, Украина, США и Вьетнам. По словам эксперта, злоумышленники использовали комбинации реальных и выдуманных личностей.Страны-цели для IT-специалистов КНДР, по данным GTIC
«IT-воинов» набирали через различные онлайн-платформы, включая Upwork, Telegram и Freelancer. Их услуги оплачивали криптовалютой через сервисы TransferWise и Payoneer, что свидетельствует об использовании методов сокрытия происхождения и назначения средств, продолжает Колльер.
Северокорейские IT-специалисты были связаны со многими проектами в Великобритании от технологий искусственного интеллекта и блокчейна до разработки сайтов, ботов и систем управления содержимым.
Один специалист из КНДР атаковал несколько европейских организаций оборонно-промышленного и государственного секторов, используя поддельные рекомендации и личности, чтобы упростить обман рекрутеров и дальнейшее трудоустройство.
Главный аналитик Mandiant (дочерняя компания Google) Майкл Барнхарт рассказал, что северокорейские IT-специалисты всё чаще проникают в крупные организации, чтобы красть конфиденциальные данные и вымогать деньги у работодателей.
Отчёт GTIG опубликовали после многочисленных предупреждений ФБР относительно тысяч северокорейских IT-специалистов, устраивающихся на работу в американские компании. По данным бюро, власти КНДР удерживают около 90% доходов от такой деятельности, которая ежегодно приносит сотни миллионов долларов. Средства направляют на финансирование программ вооружения.
Весной прошлого года Министерство юстиции США обнаружило, что в течение трёх лет гражданка Соединённых Штатов Кристина Чепмен из Аризоны помогала северокорейским IT-специалистам получать «незаконную удалённую работу», используя поддельные и реальные личности граждан США. В рамках своей деятельности Чепмен отмыла около $6,8 млн. Жертвами схемы стали более 300 американских компаний.
Летом 2024 года американская KnowBe4 случайно наняла хакера из КНДР. Он успешно прошёл собеседование, а фотографии для резюме злоумышленник создал, обработав стоковое изображение при помощи нейросетей.
После раскрытия и увольнения некоторые из северокорейских IT-работников использовали инсайдерскую информацию для вымогательства денег у бывших работодателей, угрожая утечкой конфиденциальных данных, украденных из систем компаний.
В январе 2025 года Минюст США предъявил обвинения двум гражданам Северной Кореи и трём посредникам за участие в многолетней мошеннической схеме по трудоустройству в сфере IT.
Управление по контролю за иностранными активами в составе Министерства финансов США ввело санкции против северокорейских подставных компаний, связанных с Министерством национальной обороны КНДР и обвиняемых в получении доходов через незаконные схемы удалённой работы в сфере IT.
Государственный департамент США предлагает миллионы долларов в обмен на любую информацию, которая поможет пресечь мошенническую деятельность «IT-воинов».
Источник новости: habr.com
