Хакеры КНДР на удаленке.

Используя личности граждан США и "фермы нотубуков", северокорейцы проникали в сети ведущих американских компаний и зарабатывали миллионы

Оригинал этого материала
© Forbes.ru, 29.05.2024, Как IT-специалисты из Северной Кореи обманом устраивались в американские компании

Келли Филлипс Эрб

Думаете, что благодаря IT-отделу работодателя ваши личные данные в безопасности? Подумайте ещё раз.

Министерство юстиции США рассекретило ряд судебных документов, в которых идёт речь о хищении персональных данных и других преступлениях, связанных с КНДР. Прокуроры, утверждающие, что северокорейские IT-работники проникают в американские компании и похищают у них деньги, называют это крупнейшим случаем применения подобного рода мошеннической схемы.

Схема

Согласно документам суда, Северная Корея отправляла тысячи квалифицированных сотрудников IT-сферы по всему миру, чтобы те проникали в сети американских компаний и собирали деньги на северокорейскую программу вооружения в нарушение санкций со стороны США и ООН. Схемы подразумевали кражу средств более чем у 300 предприятий в Соединенных Штатах, включая многие всемирно известные корпорации, использование американских платежных платформ и учётных записей на сайтах для поиска работы, прокси-серверы на территории США, а также привлечение американских граждан и организаций (некоторые из них даже не понимали, что помогают мошенникам).

Прокуроры говорят, что все это началось в 2020 году, когда группа зарубежных IT-сотрудников стала оказывать услуги американским фирмам в удалённом режиме. Чтобы добиться трудоустройства, злоумышленники похищали персональные данные американских граждан и подавались с их помощью в США на дистанционные вакансии. Как только договор был заключен (иногда через кадровые агентства), сотрудники получали доступ к внутренним системам американских предприятий. Причём они не только похищали данные и денежные средства, но и получали за свою работу миллионы долларов, а Налоговому управлению США предоставляли ложную информацию.

Кристина Мари Чэпман

Одна из обвиняемых — гражданка США Кристина Мари Чэпман, которую арестовали в аризонском Литчфилд-Парке. Настоящие имена её сообщников неизвестны, но в обвинительном заключении они условно указаны как Джоны Доу (обозначение неизвестных мужского пола) 1–3 под вымышленными именами Цзихоу Хань, Хаожань Сю и Чуньцзи Цзинь.

Чэпман вменяют пособничество IT-работникам в подтверждении похищенных персональных сведений, чтобы те могли выдавать себя за граждан США. Так сотрудники из-за рубежа смогли устроиться на американские предприятия, включая телесеть из первой пятерки, IT-компанию из Кремниевой долины, производителя аэрокосмического оборудования, американского изготовителя автомобилей, магазин люксовых товаров и популярную в США медиакомпанию (в обвинительном заключении её называют «одной из самых узнаваемых мировых компаний в сфере медиа и развлечений»), причём каждая из организаций входит в рейтинг 500 крупнейших компаний по версии Fortune. Сторона обвинения заявляет, что зарубежные работники также «выводили» (проще говоря, крали) данные по меньшей мере из двух американских фирм — международной сети ресторанов и американского производителя одежды.

Зарубежные IT-специалисты также трижды пытались получить работу и доступ к информации в двух правительственных агентствах США, однако попытки не увенчались успехом.

ФБР также выписало ордеры на обыск расположенных в США «ферм ноутбуков». Так называют дома, в которых находятся портативные компьютеры для зарубежных IT-сотрудников, создающие видимость, будто они работают на территории Штатов.

Место проживания Чэпман оказалось в числе тех, которые правоохранители обыскали в октябре 2023 года согласно ордеру, выданному федеральным окружным судом Аризоны. Женщину обвиняют в организации у себя дома «фермы ноутбуков» для содействия в реализации схемы. Прокуроры также заявляют, что она получала и подделывала чеки о заработной плате и принимала от американских компаний на собственные финансовые счета в американском банке прямые перечисления в качестве зарплаты для зарубежных IT-сотрудников.

«Использование украденных персональных данных граждан США само по себе является преступлением, но когда такие сведения применяются для трудоустройства поддерживающих связи с Северной Кореей иностранных граждан в американские компании, это подрывает национальную безопасность целой страны, ― отмечает директор отдела Налогового управления по криминальным расследованиям Гай Фикко. ― На протяжении более чем 100 лет специальные агенты отдела Налогового управления по криминальным расследованиям отслеживают денежные потоки, а их финансовая экспертиза в очередной раз сорвала планы преступников».

Прокуроры говорят, что изначально предложение поучаствовать в схеме Чэпман получила через LinkedIn ― там её попросили стать американским лицом компании. По всей видимости, к настоящему моменту её страница в социальной сети удалена.

Теперь Чэпман вменяют участие в преступном сговоре с целью хищения средств у Соединенных Штатов, в сговоре с целью осуществления мошенничества с помощью электронных средств связи, в сговоре с целью осуществления хищения банковских средств, кражу персональных данных при отягчающих обстоятельствах, участие в преступном сговоре с целью хищения персональных данных, участие в сговоре с целью отмывания денежных инструментов, деятельность в качестве нелицензированного бизнеса по переводу денег и незаконное трудоустройство иностранных граждан. Её соучастникам вменяют участие в преступном сговоре с целью отмывания денег.

Пока что Чэмпан лишь предъявили обвинения, но женщина на них ещё не ответила. Если её признают виновной, ей грозит максимальный срок — 97,5 лет тюремного заключения, в том числе обязательный минимум в два года за кражу персональных данных при отягчающих обстоятельствах.

Согласно документам суда, сейчас интересы Чэпман представляет федеральный адвокат.

Джоны Доу тем временем остаются на свободе. Государственный департамент США объявил о награде за информацию о сообщниках Чэпман в размере до $5 млн. Любого, кто владеет сведениями о людях под псевдонимами Цзихоу Хань, Хаожань Сю и Чуньцзи Цзинь, связанных с ними лицами и организациями либо об их деятельности по получению дохода и отмыванию денег, Минюст США просит обратиться в офис программы «Награда за правосудие».

Старший помощник заместителя генерального прокурора Николь М. Арджентьери, глава криминального отдела Министерства юстиции, заявляет: «Обвинения по данному делу должны стать тревожным звонком для американских компаний и правительственных агентств, где работают дистанционные IT-сотрудники. Эти преступления выгодны правительству Северной Кореи, являются для него источником заработка и в некоторых случаях похищаемой сообщниками служебной информации».

Александр Диденко

В округе Колумбия также был рассекречен иск с обвинениями в адрес уроженца Киева Александра Диденко в том, что он реализовывал отдельную схему по созданию подставных учётных записей на американских платформах по поиску работы в сфере IT с применением американских сервисов для перевода денежных средств.

Согласно материалам жалобы, Диденко управлял сайтом upworksell.com, который якобы предоставлял услуги дистанционным IT-сотрудникам. Как гласит письменное заявление, которое сделал изучавший интернет-страницу специальный агент ФБР, в рекламе на сайте говорилось, что удалённые IT-работники могут покупать или брать в аренду аккаунты, оформленные на других людей. Кроме того, сайт продвигал «аренду кредитных карт» в Евросоюзе и США и аренду SIM-карт для мобильных телефонов. В последнем случае клиенты отправляли деньги к зачислению на карту, а Диденко предоставлял в ответ информацию по ней, взимая за это комиссию.

Предположительно, у мужчины был целый ряд вариантов получения оплаты за свои услуги, включая USDT (стейблкоин Tether), BUSD (стейблкоин Binance), USDC (долларовый стейблкоин) и аккаунты в американских сервисах денежных переводов.

Прокуроры уверены: все это было лишь частью «полного спектра услуг», куда также входили постановочные собеседования, чтобы клиенты могли выдавать себя за других людей и заключать договоры на дистанционное трудоустройство с ничего не подозревающими фирмами.

Домен upworksell.com с тех пор арестован по судебному постановлению Министерства юстиции, а весь трафик сайта перенаправляется в ФБР. Сейчас на странице об этом выставлено соответствующее сообщение.

Согласно письменному заявлению, в арсенале Диденко были «посреднические» персональные данные приблизительно 871 человека, прокси-аккаунты на трёх американских платформах по набору IT-персонала и трёх различных американских площадках для осуществления денежных переводов. Вместе со своими сообщниками обвиняемый наладил работу по меньшей мере трёх «ферм ноутбуков» в Соединенных Штатах, причём одно время общее количество компьютеров на них достигало 79.

По словам стороны обвинения, в своих сообщениях Диденко допускал, что оказывает содействие IT-сотрудникам из Северной Кореи. Вдобавок к этому в ноябре 2023 года одна фирма из США, специализирующаяся на кибербезопасности, нашла на одной онлайн-платформе для хранения данных документы, где описаны попытки северокорейских IT-специалистов трудоустроиться в дистанционном режиме. Согласно документам суда, фирма «с высокой степенью уверенности» сделала вывод о том, что к данным файлам может быть причастна группа шпионов со связями в Северной Корее. В частности, компания заявила: «Несколько из найденных нами документов содержали информацию, которая более чётко указывает на Северную Корею. Многие пароли, связанные с данными документами, сделаны путём набора корейского текста на американской раскладке клавиатуры, а некоторые включают слова, используемые только в Северной Корее. Более того, на компьютерах стоящих за этими кампаниями злоумышленников активированы настройки корейской клавиатуры».

Среди документов имеются руководства и советы по успешному трудоустройству, написанию сопроводительных писем, оформлению резюме, образцы резюме подставных IT-сотрудников и пошаговые разборы собеседований. Несколько документов относятся к размещению объявлений на онлайн-площадках по поиску работы, которую в итоге заполучили северокорейские IT-специалисты ― это вакансии американских работодателей, судя по деловым записям, впоследствии оказавшиеся связанными с компьютерами в доме Чэпман (прокуроры заявляют, что деятельность Диденко и Чэпман была взаимосвязана).

Один из клиентов Диденко из числа зарубежных IT-сотрудников также просил отправить ноутбук с одной из «ферм» Диденко на «ферму ноутбуков» Чэпман ― это свидетельствует о связях между двумя ячейками в рамках сети зарубежных IT-специалистов из Северной Кореи. Ордеры на обыск четырёх домов с «фермами ноутбуков» под контролем Диденко в США были выписаны федеральным судом в южном округе Калифорнии, восточном округе Теннесси и восточном округе Вирджинии.

Если мужчину признают виновным, ему светит максимальное наказание в виде 67,5 лет тюремного заключения, в том числе обязательный минимум в два года за хищение персональных данных при отягчающих обстоятельствах. Диденко был арестован по запросу США 6 мая правоохранительными органами Польши. Американские власти требуют экстрадиции задержанного в Соединенные Штаты.

Намерен ли обвиняемый пользоваться в США услугами адвоката, в судебных документах не уточняется.

Тревожные сигналы

В 2022 году ФБР, Госдепартамент и Министерство финансов США выпустили рекомендацию, в которой предупреждали международное сообщество, частный сектор и широкую общественность об угрозе со стороны северокорейских IT-специалистов. В 16-страничном руководстве содержалась подробная информация о том, как работают IT-сотрудники из КНДР, какие тревожные сигналы должны распознавать компании, нанимающие разработчиков-фрилансеров, профильные платформы и платежные сервисы, а также общие упреждающие меры, с которыми предприятия смогут лучше защититься от заведомого найма таких сотрудников и пособничества их деятельности.

В октябре 2023 года власти США и Южной Кореи выпустили обновлённые рекомендации. В них перечислены дополнительные признаки, которые следует учитывать в свете мошеннической активности северокорейских IT-работников, и меры по её пресечению, которые международному сообществу, частному сектору и широкой общественности нужно предпринимать во избежание найма дистанционных специалистов из КНДР.

ФБР призывает американские компании сообщать о подозрительной активности, включая любую деятельность, которую предположительно осуществляют северокорейские IT-сотрудники.