Amerykański Departament Sprawiedliwości (DoJ) oskarżył 14 obywateli Koreańskiej Republiki Ludowo-Demokratycznej (KRLD) o udział w wieloletnim spisku mającym na celu łamanie sankcji, popełnianie oszustw komputerowych, pranie pieniędzy oraz kradzież tożsamości. Według zarzutów osoby te nielegalnie pozyskiwały zatrudnienie w amerykańskich firmach oraz organizacjach non-profit, wprowadzając w błąd co do swojej narodowości i lokalizacji.
Osoby te, związane z północnokoreańskimi firmami Yanbian Silverstar i Volasys Silverstar, działającymi w Chińskiej Republice Ludowej (Chiny) oraz Federacji Rosyjskiej (Rosja), miały wykorzystywać fałszywe, skradzione lub wypożyczone dane tożsamościowe, aby ukryć północnokoreańskie korzenie. Według DoJ, w ramach tych działań generowano ogromne przychody, które zasilały budżet reżimu w Pjongjangu.
Skala oszustwa i metody działania
Przez sześć lat działalności spisek ten miał przynieść Pjongjangowi co najmniej 88 milionów dolarów. Zatrudnieni zdalnie pracownicy IT byli również oskarżani o kradzież informacji, takich jak kod źródłowy, oraz grożenie ich ujawnieniem w przypadku odmowy zapłaty okupu. Nielegalnie uzyskane środki finansowe były przemywane przez systemy bankowe w USA i Chinach, a następnie trafiały do Korei Północnej.
Jeden z pracodawców, który odmówił zapłaty okupu, padł również ofiarą ataku, w wyniku czego poufne dane zostały ujawnione w internecie. Straty tego podmiotu oszacowano na setki tysięcy dolarów. Władze USA, próbując przeciwdziałać tego typu oszustwom, przejęły łącznie 29 fałszywych domen wykorzystywanych przez północnokoreańskich pracowników IT do podszywania się pod renomowane firmy z branży technologicznej. Te witryny służyły jako narzędzia legitymizujące działania oszustów, którzy starali się zdobywać zlecenia na prace zdalne.
Lista oskarżonych i ich role
Do plejady podejrzanych należą między innymi Jong Song Hwa, Ri Kyong Sik, Kim Ryu Song czy Rim Un Chol, a lista ta obejmuje łącznie 14 nazwisk. Osoby te pełniły różne funkcje – od czołowych liderów firm po zwykłych pracowników IT. Co więcej, wspomniane firmy zatrudniały co najmniej 130 północnokoreańskich informatyków, określanych mianem „IT Warriors”. W ramach ich pracy organizowano nawet „socjalistyczne zawody”, w których najlepsi pracownicy byli nagradzani premiami i innymi wyróżnieniami.
Obecne zarzuty to jednak tylko część większej kampanii mającej na celu powstrzymanie północnokoreańskiego procederu. Władze konfiskowały również środki finansowe związane z tym oszustwem – tylko w październiku 2023 roku zabezpieczono 1,5 miliona dolarów. Ogólna suma zabezpieczonych środków wynosi już 2,26 miliona dolarów.
Kreatywne metody ukrywania tożsamości
Północnokoreańscy pracownicy IT skutecznie ukrywali swoją tożsamość, wykorzystując pseudonimowe konta e-mail, profile w mediach społecznościowych, witryny internetowe oraz wynajęte proxy i VPN-y. Stosowano także technikę tzw. „farmy laptopów”, czyli współpracy z osobami przebywającymi w USA, które przyjmowały i konfigurowały laptopy firmowe, co pozwalało oszustom zdalnie pracować z krajów takich jak Chiny czy Rosja, jednocześnie udając, że znajdują się w Stanach Zjednoczonych.
Wszyscy oskarżeni będą odpowiadać za spiskowanie w celu naruszenia Międzynarodowej Ustawy o Uprawnieniach Ekonomicznych w Sytuacjach Nadzwyczajnych, oszustwa finansowe, pranie pieniędzy oraz kradzież tożsamości. Ośmiu z nich dodatkowo usłyszało zarzuty dotyczące kradzieży kwalifikowanej. W przypadku skazania, każdemu z oskarżonych grozi maksymalnie 27 lat więzienia.
Cyberprzestępczość i kradzież kryptowalut
Oszustwa z udziałem pracowników IT są jedynie jednym z wielu sposobów, za pomocą których Korea Północna pozyskuje nielegalne fundusze. Inne metody obejmują kradzież kryptowalut oraz ataki na banki i platformy blockchain. Przykładowo, zdecentralizowana platforma finansowa Radiant Capital doświadczyła poważnego ataku, który przyniósł hakerom 50 milionów dolarów. Za incydent ten odpowiedzialna miała być grupa Citrine Sleet, będąca odłamem znanej jednostki Lazarus Group.
Grupa ta, znana również jako Gleaming Pisces czy Labyrinth Chollima, stosuje różnorodne metody socjotechniczne, aby zwabić swoje ofiary. Jedną z takich technik jest kampania „Operation Dream Job”, w ramach której oszuści podszywają się pod rekruterów oferujących lukratywne stanowiska. Ofiary, skuszone możliwością współpracy, są wciągane w pułapki polegające na instalacji złośliwego oprogramowania lub ujawnianiu danych poufnych.
Atak na Radiant Capital
Atak na Radiant Capital rozpoczął się od kontaktu napastnika z jednym z deweloperów firmy za pośrednictwem Telegramu. Podszywając się pod zaufanego współpracownika, oszust przesłał link do archiwum ZIP zawierającego dokument PDF. W rzeczywistości archiwum instalowało jednak złośliwe oprogramowanie, które kradło dane i zapewniało napastnikom dostęp do systemów Radiant Capital. W wyniku tego ataku napastnicy byli w stanie przejąć kontrolę nad transakcjami dokonywanymi na platformie, manipulując interfejsami użytkownika w taki sposób, aby ukryć swoje działania.
To zdarzenie, podobnie jak inne działania północnokoreańskich grup hakerskich, przypomina o konieczności wzmożonej czujności oraz stosowania zaawansowanych mechanizmów obronnych w obszarze cyberbezpieczeństwa.
