Інформаційні технології та чучхе: Як програмісти з Північної Кореї підтримують режим КНДР.
Уявлення про КНДР як відсталу країну, яку обійшла стороною цифрова трансформація, є дещо хибним. Інтернет тут досі доступний лише обраним, однак це не завадило режиму налагодити функціонування цілого кластера ІТ-фахівців, який може створити серйозну проблему для решти світу.
LIGA.Tech досліджувала механізми його роботи, методи, якими його агенти використовують шахрайство для працевлаштування у західних компаніях, а також причини, чому це викликає занепокоєння щодо світової кібербезпеки.
Після розпаду СРСР та зупинки фінансової підтримки, КНДР була змушена шукати нові способи отримання "твердої валюти" для підтримки свого режиму. Це включало виробництво та продаж зброї радянського зразка, різноманітних контрафактних товарів, наркотиків, а також оренду робочих бригад, які фактично виконували функції рабської праці. Пандемія COVID-19 суттєво сприяла поширенню дистанційної роботи, що створило нові можливості для Пхеньяну.
За оцінками ФБР і Держдепу США, в КНДР з 2018 року працює підпільний кластер айтівців. Він налічує тисячі працівників й заробляє в обхід санкцій від $250 млн до $600 млн щороку. Причому найбільша проблема навіть не в тому, що ці кошти йдуть на фінансування розробки ядерної зброї та програм балістичних ракет. Північнокорейські фахівці також виступають "кротами", які збирають конфіденційну інформацію й створюють вразливості в системах кібербезпеки західних компаній.
Згідно з даними, наданими компанією з кібербезпеки CrowdStrike, у 2024 році було зафіксовано понад 300 випадків, пов'язаних з підставними ІТ-спеціалістами з Північної Кореї. Основною метою цих фахівців залишаються американські компанії, однак їх активність помітно зросла й у інших країнах, зокрема в Європі. Це пов'язують із тим, що американські підприємства більш усвідомлені щодо ризиків і уважніше ставляться до процесу набору кадрів.
У зоні ризику опиняються підприємства, які надають своїм співробітникам можливість працювати з особистих комп'ютерів. Це надає їм змогу обходити стандартні методи контролю, такі як ведення журналів чи обстеження корпоративних пристроїв. Інструменти на кшталт TinyPilot і PiKVM створюють ілюзію того, що користувач фізично перебуває за комп'ютером, а не підключається через віртуальну платформу.
Основна увага зосереджена на стартапах, які швидко розвиваються. Під час прийому нових співробітників у таких компаніях може бути приділено менше уваги їхній перевірці порівняно з великими корпораціями.
Проте деякі північнокорейські айтівці примудрялися влаштовуватися на роботу до учасників списку Fortune 500 (рейтинг найбільших компаній за валовим доходом). Цьому допомагали витончено вигадані "легенди", які вводили в оману навіть досвідчених спеціалістів з HR і безпеки. Як їм це вдавалося?
Отримати базові навички з інформатики й програмування північнокорейські громадяни можуть в Університеті імені Кім Ір Сена, а також Пхеньянському університеті технологій і науки, де викладаються відповідні курси. Найбільш здібних і лояльних до режиму направляють до спеціалізованих військових та державних установ, де вони можуть поглибити свої знання й далі потрапити в спеціалізовані групи.
Ідеї щодо розвитку інформаційно-технологічного сектору були висловлені батьком нинішнього лідера, Кім Чен Іром, ще в березні 2001 року. Цей намір отримав підтримку в контексті зменшення напруженості між Кореями на початку XXI століття. Уряд Південної Кореї навіть стимулював компанію Samsung інвестувати 73 мільйони доларів у національний університет комп'ютерних наук Північної Кореї. Іронічно, але вже у 2013 році саме північнокорейські хакери почали нападати на банки та інші інституції свого південного сусіда.
Однак оволодіти програмуванням - це лише частина процесу. Найбільшим випробуванням є розробка досить правдоподібної фальшивої особистості, що дозволить успішно отримати роботу за кордоном. Щоб маскуватися під громадян інших країн, північнокорейські IT-спеціалісти працюють з території Китаю або Росії, використовуючи посередників та різноманітні інструменти. Впровадження нейромереж значно спростило цей процес.
Часто вони вдаються до використання справжніх документів, таких як паспорти, водійські посвідчення або картки соціального страхування, які були здобуті через крадіжку або маніпуляції з особистими даними. Якщо це не вдається, північнокорейські хакери застосовують підробки різного ступеня якості. У таких випадках комбінують реальні й фальшиві дані. Наприклад, для профільного зображення може використовуватися фотографія справжньої особи, на яку за допомогою штучного інтелекту накладається обличчя програміста з КНДР. Це зображення цілком здатне пройти базову перевірку.
Щоб успішно пройти відеоінтерв'ю з HR-фахівцем, шахраї, подібно до агентів розвідки, розробляють складні "легенди" з ретельно продуманими історіями та відповідями на популярні запитання. Проте деякі з них видають себе, коли не здатні відповісти на елементарні питання про своє життя, якщо ця інформація не зазначена у їхніх резюме.
Якщо компанія наполягає на використанні виключно корпоративних ноутбуків, то застосовувалася така схема: пристрій відправлявся посереднику у США або іншій західній країні. Там його підключали до мережі, після чого зловмисник міг працювати віддалено, використовуючи програмне забезпечення, таке як Chrome Remote Desktop, AnyDesk, Splashtop Streamer, TeamViewer, RustDesk тощо. Це створювало враження, що фахівці насправді виконують свої обов'язки з території США, а не з Росії, Китаю, Лаосу чи інших країн, які мають лояльне ставлення до КНДР.
Щоб замаскувати своє реальне місцезнаходження, жителі Північної Кореї вдаються до використання VPN, а у випадку, якщо працедавець захоче зв'язатися з ними телефоном, звертаються до віртуальних телефонних номерів. Це часто призводить до досить комічних ситуацій: наприклад, один IT-фахівець з КНДР стверджував, що живе і працює в Польщі, але в перший робочий день підключався з іспанської IP-адреси.
Потенційних кандидатів вони знаходять на відомих західних платформах для працевлаштування та фрілансу, таких як Upwork і Freelancer, а також у месенджерах на кшталт Telegram. Використовуючи фейкові профілі, вони генерують заявки на вакансії, спрощуючи цей процес за допомогою нейромереж. Деякі з них створюють підроблені вебсайти компаній, де, нібито, раніше працювали, що часто дозволяє їм успішно пройти всі необхідні перевірки.
За підрахунками ФБР, один такий працівник може заробляти до $300 000 на рік, а група з кількох осіб - $3 млн. Для виведення коштів зловмисники послуговуються платіжними онлайн-платформами чи криптовалютою.
Найчастіше аферисти видають себе за громадян Італії, Японії, Малайзії, Сінгапуру, Сполучених Штатів, В'єтнаму і навіть України. Згідно зі звітом Google, був зафіксований випадок, коли один північнокорейський айтівець керував щонайменше 12 підставними особистостями в США та Європі. Найчастіше вони звертають увагу на вакансії, пов'язані зі створенням ботів, системами менеджменту контенту і блокчейну.
У минулому і поточному році ФБР відзвітувало про арешт кількох посередників, які працювали разом з підпільними північнокорейськими айтівцями. Вони розміщали в себе вдома "ферми ноутбуків", допомагали з працевлаштуванням і навіть відмиванням отриманих коштів за свій відсоток. Бюро пообіцяло гонорар у $5 млн за корисну інформацію про шахрайські схеми з айтівцями КНДР. Крім того, було закрито 17 сайтів і вилучено $1,5 млн, які використовувались для інфраструктури.
Суттєва небезпека для ІТ-компаній полягає в тому, що навіть якщо їм вдасться виявити та звільнити такого "експерта", проблеми можуть лише загостритися. Часто такі фахівці переходять до альтернативних варіантів дій і починають вимагати значні фінансові компенсації. В іншому випадку вони погрожують опублікувати в мережі особисті дані співробітників або іншу конфіденційну інформацію.
Досить часто північнокорейські айтівці вивчають системи захисту компаній, в яких працюють, чи запускають в систему шкідливі програми, щоб спростити своїм хакерам-співвітчизникам злам. На початку цього року сталася найбільша одночасна крадіжка активів онлайн: розташована в Дубаї криптобіржа Bybit втратила активів на майже $1,5 млрд. Основними підозрюваними вважаються північнокорейські хакери, й не виключено, що операція стала можливою завдяки допомозі їх колег зсередини.
Американські правоохоронні органи рекомендують ІТ-компаніям більш уважно ставитися до процесу найму віддалених співробітників. Особливо важливо звертати увагу на незвичайні аспекти в мережевому трафіку або під час відеозв’язків, оскільки можуть бути використані інструменти штучного інтелекту для зміни зовнішності.
Гаррісон Леджіо, керівник стартапу g8keep у сфері криптовалют, поділився з виданням Fortune цікавими фактами про свою практику найму. Він зазначив, що 95% потенційних співробітників виявилися підпільними IT-фахівцями з Північної Кореї, які намагалися представитися американськими розробниками. Щоб викрити їх, Леджіо вдався до нестандартного методу: він просив кандидатів висловити негативну думку про лідера Кім Чен Ина, що є серйозним злочином у КНДР. Один з кандидатів на це реагував агресивно і заблокував Леджіо в месенджері.
Проте не слід недооцінювати цю ситуацію. В умовах успішної реалізації операції з Bybit та зростаючих амбіцій пхеньянського лідера, можна прогнозувати розширення діяльності підпільного ІТ-кластера Північної Кореї, а також збільшення їхньої складності та зухвалості.
