От години Северна Корея тайно назначава млади ИТ специалисти в западни компании. С помощта на Изкуствения Интелект (ИИ) схемите им вече са по-хитроумни и по-ефективни от всякога, пишат от WIRED.
По документи първият кандидат изглежда идеален. Томас е от щата Тенеси и е учил компютърни науки в университета в Мисури. В автобиографията му пише, че е професионален програмист от осем години и че е издържал предварителен тест по програмиране. Всичко това е отлична новина за бъдещия шеф на Томас, Симон Вийкманс – основател на стартъп за уеб сигурност C.Side. Вийкманс – 27-годишен белгиец се намира в Лондон, но търси амбициозни програмисти, които да работят изцяло дистанционно.
Томас имал англосаксонско фамилно име, затова Вийкманс бил изненадан, когато кликнал върху неговия Google Meet и открил, че разговаря с млад мъж със силен акцент и от азиатски произход. Томас е бил задал общо изображение на офис като фон. Интернет връзката му се забавяла – необичайно за професионален програмист, а и неговият фон на разговора бил шумен. За Викманс Томас звучал така, сякаш седи в голямо, претъпкано пространство, може би общежитие или кол център.
Вийкманс задал въпросите си за интервюто и отговорите на Томас звучали достатъчно убедително. Но Уийкманс забелязал, че Томас изглежда се интересувал най-много от въпроса за заплатата си. Той не проявил любопитство към същинската работа, към начина на функциониране на компанията или дори към придобивки като акции на стартиращата компания и здравното осигуряване. Странно, помислил си Вийкманс. Разговорът приключил и той се подготвил за следващото интервю с кандидатите за обявената работна позиция.
Следващият кандидат отново заявил че е базиран в САЩ и е с англоезично име. Отново се оказал млад азиатец със силен, неамерикански акцент. Използвал основен виртуален фон, бил с ужасна интернет връзка и пак основно се интересувал от заплатата. Този кандидат обаче носел очила. В отраженията на очилата Вийкманс забелязал множество монитори и успял да различи бяло чат поле с превъртащи се съобщения. „Ясно беше, че или чати с някого, или работи с някакъв инструмент за изкуствен интелект“, спомня си Вийкманс.
Това го усъмнило и решил да си направи снимки на екраните и да си води бележки. След като разговорът приключил, той отново прегледал заявленията за работа. Установил, че обявите на компанията му са залети от кандидати точно като тези: за едно работно място за разработчик на пълен пакет документи били подадени над 500 кандидатури за един ден, много повече от обикновено. А когато се вгледал по-задълбочено в тестовете за кодиране на кандидатите, видял, че много от тях изглежда са използвали виртуална частна мрежа или VPN, която позволява на човек да прикриете истинското местоположение на компютъра си.
Вийкманс още не знаел, но бил попаднал на дръзка глобална операция за борба с киберпрестъпността. Той неволно бил установил контакт с армия от на пръв поглед невзрачни ИТ специалисти, които били изпратени да работят от разстояние за американски и европейски компании под фалшива самоличност, за да финансират правителството на Северна Корея. Разбира се, с малко помощ от някои приятели на място.
Кристина Чапман живеела в каравана в Брук Парк, Минесота – селце северно от Минеаполис, когато получила съобщение от вербовчик, което променило живота ѝ. Бъбривата 44-годишна жена с къдрава червена коса и очила обичала кучетата си и майка си и публикувала съдържание за социална справедливост в TikTok. В свободното си време слушала кей-поп и се увличала по косплей (представление, в което участниците носят костюми и модни аксесоари така, че да представят определен персонаж). Според оскъдното й CV, Чапман също така се е учила да програмира онлайн.
Всичко започнало през март 2020 г., когато тя кликнала върху съобщение в профила си в LinkedIn. Чуждестранна компания търсела човек, който да „бъде лицето в САЩ“ на бъдещо бизнес начинание. Компанията се нуждаела от помощ за намиране на дистанционна заетост за чуждестранни работници. Чапман се включила. Не е ясно колко бързо е нараснало работното ѝ натоварване, но през октомври 2022 г. тя вече е можела да си позволи да се премести от хладната Минесота в къща с четири спални в Личфийлд Парк, Аризона. Тя не била луксозна – крайградски ъглов парцел с няколко дръвчета, но била голямо подобрение на стандарта в сравнение с караваната.
Малко по-късно Чапман започва да документира повече от живота си в TikTok и YouTube, като разказва предимно за диетата, фитнеса или психичното си здраве. В един от видеоклиповете, споделен през юни 2023 г., тя описва как закусва в движение – купа с асаи и смути, защото работата ѝ е много натоварена.
„Клиентите ми полудяват!“ – оплаква се тя. На заден план камерата заснема метални стелажи, в които се намират поне дузина отворени лаптопи, покрити със залепени бележки. Няколко месеца по-късно щастски прокурори влизат в дома на Чапман, изземват лаптопите и в крайна сметка повдигат обвинения за това, че тя в продължение на три години е подпомагала „усилията за генериране на незаконни приходи“ на правителството на Северна Корея.
Може би от десетилетие севернокорейските разузнавателни служби обучават млади ИТ специалисти и ги изпращат в екипи в чужбина, често в Китай или в Русия. От тези бази те претърсват интернет за обяви за работа – без значение местоположението, обикновено в областта на софтуерното инженерство и предимно в западни компании.
Предпочитат длъжности, които са изцяло дистанционни, със солидно заплащане, добър достъп до данни и системи, както и малко отговорности. С течение на времето те започват да кандидатстват за тези работни места, като използват откраднати или фалшиви самоличности и разчитат на членове на престъпните си екипи да предоставят измислени препоръки; някои дори започват да използват изкуствен интелект, за да преминат през тестове за кодиране, видеоинтервюта и проверки на
минал професионален опит.
Но ако кандидатът получи предложение за работа, синдикатът се нуждае от някой на място в страната, в която кандидатът твърди, че живее. В края на краищата фалшивият служител не може да използва адресите или банковите сметки, свързани с откраднатите му документи за самоличност и не може да се включи в мрежата на компанията от чужбина, без да предизвика незабавно подозрение. Тук се намесва човек като Кристина Чапман.
Като „посредник“ за стотици работни места, свързани със Северна Корея, Чапман подписва фалшиви документи и обработва заплатите на някои от фалшивите работници. Често тя получава заплатите им в една от банковите си сметки, взема процент от тях и превежда останалата част в чужбина: Федералните прокурори твърдят, че на Чапман са били обещани до 30 процента от парите, които са преминавали през ръцете ѝ.
Най-важната ѝ работа обаче била да се грижи за „фермата за лаптопи“. След като бъде нает, фалшивият работник обикновено иска новият му служебен компютър да бъде изпратен на адрес, различен от регистрирания – обикновено с някакво извинение за преместване в последния момент или необходимост да остане при болен роднина. Новият адрес, разбира се, принадлежи на посредника – в случая Чапман. Понякога посредникът препраща лаптопа на адрес в чужбина, но по-често това лице го задържа и инсталира софтуер, който позволява той да бъде контролиран от разстояние. Тогава фалшивият служител може да се свърже с машината си от всяка точка на света, като същевременно изглежда, че се намира в Съединените щати.
Прокурорите заявиха, че в тази единствена схема са били въвлечени най-малко 300 работодатели, включително „национална телевизионна мрежа и медийна компания от топ 5, водеща технологична компания от Силициевата долина, производител на авиационна и отбранителна техника, емблематичен американски производител на автомобили, магазин за търговия на дребно от висок клас и една от най-разпознаваемите медийни и развлекателни компании в света“.
Те твърдят, че Чапман е помогнала за прехвърлянето на поне 17 милиона долара. През февруари 2025 г. тя се признава за виновна по обвинения, свързани с интеренет измама, кражба на самоличност и пране на пари, като очаква присъда.
Случаят „Чапман“ е само едно от няколкото съдебни преследвания на севернокорейски фалшиви работници, които се водят в американските съдилища. Украинец на име Олександър Диденко е обвинен в създаването на уебсайт за работа на свободна практика, който свързва фалшиви ИТ специалисти с откраднати самоличности. Прокурорите твърдят, че поне един работник е свързан с фермата за лаптопи на Чапман и че Диденко има връзки с операции в Сан Диего и Вирджиния.
Диденко е бил арестуван в Полша през 2024 година и е бил екстрадиран в САЩ. В Тенеси 38-годишният Матю Кноот трябва да се изправи пред съда за предполагаемата си роля в схема, при която според разследващите, чрез фермата му за лаптопи в Нашвил са изпратени стотици хиляди долари към сметки, свързани със Северна Корея. Кноот не се признава за виновен.
През януари 2025 г. прокурорите във Флорида повдигат обвинения срещу двама американски граждани – Ерик Нтекрезе Принс и Емануел Аштор, както и срещу мексикански съучастник и двама севернокорейци. (Никой от адвокатите на обвиняемите по тези дела не отговори на молбите за коментар на WIRED.) В обвинителните актове се твърди, че Принс и Аштор са прекарали шест години в ръководене на поредица от фалшиви компании за подбор на персонал, които са назначили севернокорейци в поне 64 предприятия.
Най-ранните кибератаки, предприети от Пхенян, са били простички: дискредитиране на уебсайтове с политически послания или атаки за отказ на услуги с цел спиране на американски уебсайтове. Малко по-късно те стават по-дръзки. През 2014 г. севернокорейски хакери откраднаха и изнесоха поверителна информация от филмовото студио Sony. След това се насочиха към финансови институции и чрез фиктивни сделки изтеглиха повече от 81 млн. долара от сметките на Банката на Бангладеш във Федералния резерв на Ню Йорк.
След това севернокорейските хакери се насочиха към софтуера за откуп – атаката WannaCry през 2017 г. блокира стотици хиляди компютри с Windows в 150 държави. Искането бе да се плати в биткойни. Макар че размерът на приходите, генерирани от атаката, е предмет на спорове – според някои тя е донесла само 140 000 долара под формата на плащания, но реално е нанесла много по-големи щети, тъй като компаниите трябвало след това да обновят своите системи и сигурност, като според една от оценките разходите за тях достигнали 4 млрд. долара.
Според неотдавнашен доклад на южнокорейската Национална разузнавателна служба през 2024 г. броят на хората, работещи в киберотделите на Северна Корея – които включват измамници, крадци на криптовалути и военни хакери, е 8400 души – с 1600 души повече в сравнение с 6800 специалисти две години по-рано. Някои от тях са базирани в страната, но много – в чужбина – като Китай, Русия, Пакистан. Те са сравнително добре възнаградени, но работата им не е никак лесна.
Екипи от по 10 до 20 млади мъже живеят и работят в един апартамент, спят по четирима или петима в стая и работят до 14 часа на ден в странни часове, които съответстват на часовия пояс на отдалечената им работа. Те имат квоти за незаконни доходи, които трябва да изпълнят. Движението им е строго контролирано, както и това на техните роднини, които на практика са заложници, за да се предотвратят дезертьорства.
„Нямаш никаква свобода“, признава Хюн-Сеунг Лий, севернокорейски дезертьор, който живее във Вашингтон и допълва, че някои от старите му приятели са били част от такива операции.
„Не ти е позволено да напускаш апартамента, освен ако не ти се налага да купиш нещо, например да пазаруваш хранителни стоки и това се организира от ръководителя на екипа. Двама или трима души трябва да отидат заедно, така че няма възможност да се отклониш някъде по пътя“, разказва Хюн-Сеунг Лий.
Правителството на САЩ изчислява, че типичен екип от измамници може да донесе на Пхенян до 3 млн. долара годишно. Експертите твърдят, че парите се вливат във всичко – от личния фонд на севернокорейския политически лидер Ким Чен Ун, до програмата за ядрени оръжия на страната. Няколко милиона долара може да изглеждат малко на фона на светкавичните криптокражби, но при толкова много екипи, които действат в неизвестност, измамата е ефективна именно защото е
толкова обикновена.
Източник: Banker.bg
