Айтишники из Северной Кореи заработали миллионы благодаря нелегальному удалённому трудоустройству в США

В конце мая этого года The Wall Street Journal рассказал историю Кристины Чапман, 50-летней женщины, которая была ключевым звеном в одной из многочисленных схем заработка и промышленного шпионажа, организованных властями Северной Кореи на территории США. В ходе рейда ФБР нашло и конфисковало у Чапман десятки ноутбуков, использовавшихся в схеме. 

Незадолго до этого о системной проблеме с северокорейскими нелегалами написали сразу несколько СМИ. Она затрагивает сотни американских компаний, нанимающих сотрудников на удалённую работу: с помощью достаточно простых махинаций с документами граждане КНДР устраиваются на должности с высокой зарплатой и работают под прикрытием в интересах своего государства. 

«IT-воины» не явились на суд 

О проблеме стало широко известно в прошлом году: федеральный суд в Сент-Луисе обвинил 14 граждан Северной Кореи в участии незаконной схеме по финансированию военных программ Пхеньяна с помощью денег от американских IT-компаний. Согласно обвинению, за 6 лет удалённой работы с помощью подложных документов они заработали для КНДР более 88 миллионов долларов и похитили важные данные крупных компаний. 

Министерство юстиции США считает, что всего в схеме участвовало около 130 северокорейских программистов, которые называли себя «IT-воинами». Все они якобы были работниками компаний «Yanbian Silverstar» и «Volasys Silverstar», базирующихся в Китае и в России соответственно.

Обвинения были предъявлены заочно: следователи считают, что обвиняемые вряд ли когда-либо предстанут перед судом, но за информацию об обеих компаниях и их ключевых сотрудниках Госдепартамент США предложил награду в 5 миллионов долларов. 

Системная ошибка

«Эти деньги идут напрямую на финансирование военных программ, а порой мы видим, что они отправляются семье Кимов. Мы говорим о десятках, если не сотнях миллионов долларов [в каждом отдельном случае — прим. ПП]», — рассказал Адам Майерс, вице-президент CrowdStrike, компании по кибербезопасности, журналистам издания Politico. 

По словам Майерса, северокорейские айтишники используют личины реальных американских работников, полученные нелегальным путём — их паспортные данные, номер страхового полиса и даже фотографии. Работу они находят через LinkedIn и официальные сервисы трудоустройства, часто нанимаясь сразу в несколько фирм. За одного такого «сотрудника» может трудиться любое число граждан КНДР.

Компания-наниматель отправляет рабочий ноутбук по указанному таким работником адресу, а принимает и подключает его подставное лицо — американский гражданин, задействованный в корейской схеме.  По данным ФБР, в среднем один работник может зарабатывать до 300 тысяч долларов в год. Попав в компанию, «IT-воин» старается привести в неё других своих «коллег» — некоторые компании сообщали, что обнаруживали до 10 северокорейцев среди своих сотрудников.  

По оценке Грега Шломера, старшего аналитика киберугроз в Microsoft, в этом процессе задействованы тысячи уникальных подставных профилей: «Эта проблема огромна, и она касается всех», — заявил он в разговоре с Politico. Какое число компаний она затронула — неясно, но эксперты говорят, что практически каждая фирма из списка Fortune 500 (перечень крупнейших компаний США по размеру выручки) так или иначе столкнулась с этой проблемой, но большинство компаний не хотят публично говорить о ней из-за репутационных рисков, юридической ответственности и финансовых потерь. 

Целью северокорейцев становятся в том числе те компании, чья прямая задача — предотвращать подобные махинации: SentinelOne, фирма по кибербезопасности, в конце апреля выпустила публичный отчёт, в котором признала, что получила на свои вакансии примерно 1000 откликов от соискателей, связанных с северокорейской IT-программой. Фирма косвенно признала и то, что некоторые из них в итоге были наняты на работу.

Эксперты, опрошенные Politico, говорят, что программа расширилась до беспрецедентных масштабов в 2022 году и продолжает расти, затрагивая также Великобританию, Польшу и другие европейские государства, а ещё Японию и  страны Юго-Восточной Азии.

Помощь «старшего брата»

По данным западных СМИ, ключевую роль в этом расширении играет союзник Пхеньяна — Пекин. В середине мая Strider Technologies, платформа киберразведки, работающая с 8 из 10 крупнейших американских компаний, выпустила отчёт, в котором назвала 35 китайских юридических лиц, имеющих отношение к «IT-воинам» Северной Кореи. Все они, как считают в Strider, связаны с компанией Liaoning China Trade Industry Co., попавшей под санкции США и якобы поставлявшей IT-оборудование государственным агентствам КНДР. 

В прошлом году портал SC Media сообщал, что фирмы-прокладки, которые используются для обмана американских работодателей, создаются не только в Китае, но и других в странах Азии, а также в Африке. Они нужны, чтобы обходить усложнившиеся защитные контуры в найме. По словам экспертов, северокорейцы, действующие под чужими личинами, ранее могли использовать достаточно простые механизмы обмана, вроде нейромаски для видеосвязи, воспроизводящей чужое лицо — но они перестали работать после неоднократных предупреждений со стороны ФБР и специалистов по кибербезопасности.

В разговоре с изданием Axios глава Strider Грег Левеск рассказал, что, помимо зарабатывания денег, северокорейские IT-специалисты всё больше занимаются промышленным шпионажем — похищением интеллектуальной собственности и различных секретов компаний, в которые устраиваются.  

«Мы сейчас понимаем, что размах, масштаб этого предприятия куда больше, чем мы думали раньше», — подчеркнул Левеск. 

«Это моё первое украшение с инструкцией по уходу»

Кристина Чапман, 50-летняя бывшая официантка и массажистка, ещё в начале 2021 года решила перейти в сферу IT и вела об этом блог — но на тот момент она находилась в бедственном финансовом положении, жила в доме на колёсах без отопления и доступа к канализации. В течение следующих двух лет она набрала более 100 тысяч подписчиков в TikTok, рассказывая о своей карьере, успела съездить как турист в Японию и в Канаду и стала покупать украшения — недорогие, но куда лучше, чем те, которые могла позволить себе ранее: всё благодаря работе на Пхеньян.

По данным следствия, для своих северокорейских нанимателей Чапман делала больше, чем от людей в её роли требуется в среднем: она, пусть и с неудовольствием, подделывала подписи на документах, фабриковала налоговые отчёты и по запросу отправляла нужную технику в Китай — в частности, в город Даньдун недалеко от границы с КНДР. В октябре 2023 года сотрудники ФБР ворвались в её дом и конфисковали более 90 ноутбуков. 

Исследователь кибербезопасности Тейлор Монахан рассказал WSJ, что в отдельных случаях такие работники, как Чапман, могут напрямую помогать «IT-воинам» проходить собеседования: появляться за них на видеозвонках, играя роль реального работника. 

Чапман признала вину по нескольким статьям, ей грозит до девяти лет тюрьмы. Следствие установило, что за примерно три года работы она заработала около 177 тысяч долларов, а северокорейцам благодаря её действиям досталось в 100 раз больше денег: по меньшей мере 17,1 миллиона долларов. К августу 2024 года она  оказалась в ночлежке для бездомных: после того, как она лишилась заработка, она не смогла ни найти новое место работы, ни собрать достаточно пожертвований с подписчиков с помощью сервиса GoFundMe. 

За месяц до того, в конце апреля, СМИ писали о другом подобном случае — 40-летний мастер маникюра Минь Фуонг Нгок Вонг, гражданин США, родившийся во Вьетнаме, признал свою вину в участии в мошеннической схеме, организованной КНДР. Он выступил подставным лицом — предъявив поддельные документы об образовании и опыте работы, нанялся в фирму, которая выполняла контракт для Федерального управления гражданской авиации США. Сообщается, что Вонг получил за это более 970 тысяч долларов и ему грозит до 20 лет тюремного заключения.