Impostori IT din Coreea de Nord în Europa: Strategii ingenioase de recrutare și metodele lor de muncă ca angajați
Specialiști în IT ai Coreei de Nord, implicați în escrocherii, furturi și atacuri cibernetice, vizează firme europene și încearcă să se angajeze la acestea. Regimul izolat al Coreei de Nord operează un grup de agenți care aplică pentru locuri de muncă la distanță în domeniul tehnologiei, iar dacă sunt angajați, își direcționează salariile către vistieria lui Kim Jong Un.
Unii dintre aceștia instalează malware pe computerele companiei care le-a căzut victimă, fură datele angajatorilor și cer răscumpărări. În cele mai fericite cazuri, unii nu își îndeplinesc sarcinile până când sunt demiși sau o fac într-un mod minim, uneori pentru a putea încasa mai multe salarii de la angajatori diferiți. Acești muncitori trimit CV-uri impresionante și, dacă reușesc să obțină un interviu, încearcă să-și mascheze accentul și înfățișarea.
Cum operează „IT”-iștii nord-coreeni
Una dintre tacticile lor preferate este să pretindă că webcam-ul lor este defect și, astfel, să evite apariția video în interviuri. De asemenea, folosesc inteligența artificială generativă pentru a crea portrete sau pentru a furniza răspunsuri în timpul interviurilor. Uneori, IT-iștii falși fac greșeli după ce sunt angajați, de exemplu, solicitând ca un laptop de muncă să le fie trimis la o adresă care nu corespunde cu cea din CV-ul de angajare. Acesta poate fi un indiciu că au recrutat un intermediar local, care să mențină laptopul conectat la internet și rețeaua internă a companiei angajatoare.
Nord-coreenii folosesc apoi VPN-uri pentru a se conecta la laptopurile furnizate de angajator și se asigură că lucrează – sau cel puțin par să lucreze – la orele locale corespunzătoare. Intermediarii îi ajută, de asemenea, să transfere salariile către Phenian. Escrocheria a fost rafinată în ultimii ani, inclusiv companii de securitate cibernetică au căzut în plasa grupului operativ din Coreea de Nord.
Nord-coreeni au devenit tot mai activi în Europa
Un mesaj semnalat de Jamie Collier, consilier principal în cadrul Google Threat Intelligence Group, subliniază „o creștere a operațiunilor active în Europa” ale acestor muncitori. „Activitatea muncitorilor IT din DPRK în mai multe țări îi transformă acum într-o amenințare globală”, avertizează acesta. „Deși Statele Unite rămân o țintă principală, în ultimele luni, muncitorii IT nord-coreeni au întâmpinat dificultăți în găsirea și menținerea locurilor de muncă în această țară, din cauza conștientizării sporite a amenințării.”
Google și parteneri ai gigantului tech american au identificat muncitori IT nord-coreeni „căutând locuri de muncă în Germania și Portugalia” și au descoperit „date de conectare pentru conturi de utilizatori pe platforme europene de recrutare și management al resurselor umane”.
Identități inventate și pașapoarte false descoperite în Serbia
Investigatorii au găsit „identități fabricate, inclusiv CV-uri cu diplome de la Universitatea din Belgrad, Serbia, și reședințe în Slovacia, precum și instrucțiuni pentru navigarea pe site-urile europene de angajare”. Un document conținea instrucțiuni specifice despre cum să se obțină locuri de muncă în Serbia, inclusiv utilizarea fusului orar sârb în timpul comunicărilor. De asemenea, au fost descoperite informații despre obținerea unor pașapoarte false, probabil pentru a putea furniza documente care să demonstreze dreptul la muncă sau de a deschide conturi bancare.
Agenții nord-coreeni au căutat locuri de muncă pe platforme precum Upwork, Telegram și Freelancer. Unii au cerut să fie plătiți în criptomonede sau prin servicii precum TransferWise și Payoneer.
SUA au luat deja măsuri împotriva grupului din Coreea de Nord
Google crede că a găsit dovezi ale unor intermediari sofisticați în Marea Britanie. „Un incident a implicat un muncitor IT din DPRK care a folosit facilitatori atât în Statele Unite, cât și în Regatul Unit. Un laptop corporativ, destinat utilizării în New York, a fost găsit funcționând în Londra, ceea ce indică un lanț logistic complex.”
Cei de la Google consideră că muncitorii falși vizează acum companiile care au politici de tip „Bring Your Own Device” (folosește-ți dispozitivul propriu la muncă) deoarece, dacă pot folosi propriul laptop, este puțin probabil ca instrumentele de management IT ale companiei să poată interveni. Google crede că vor fi necesare investigații, deoarece a observat că falsificatorii nord-coreeni vizează tot mai des angajatori mari și recurg tot mai frecvent la șantaj.
„În aceste incidente, muncitori IT recent concediați au amenințat că vor divulga date sensibile ale foștilor angajatori sau că le vor oferi unui competitor. Aceste date includ informații proprietare și cod sursă pentru proiecte interne.”
FBI a emis îndrumări despre cum pot fi identificați muncitorii IT falși din Coreea de Nord, printre semnele revelatoare numărându-se evitarea întâlnirilor în persoană, schimbarea metodelor de plată preferate pe platformele de freelancing și profilurile online care nu conțin o imagine.
