Tożsamości ponad 80 Amerykanów skradzione na potrzeby oszustw związanych z pracownikami IT w Korei Północnej

Przez lata rząd Korei Północnej znajdował rozrastające się źródło dochodów pozwalających na unikanie sankcji, zlecając swoim obywatelom tajne aplikowanie o pracę zdalną w branży technologicznej na Zachodzie . Niedawno ujawniona operacja rozbiórki przeprowadzona przez amerykańskie organy ścigania jasno pokazuje, jak duża część infrastruktury wykorzystywanej do przeprowadzania tych schematów znajdowała się w Stanach Zjednoczonych — i jak wiele tożsamości Amerykanów zostało skradzionych przez północnokoreańskich podszywaczy, aby je przeprowadzić.

W poniedziałek Departament Sprawiedliwości ogłosił szeroko zakrojoną operację mającą na celu rozprawienie się z amerykańskimi elementami północnokoreańskiego programu zdalnych pracowników IT, w tym oskarżenia przeciwko dwóm Amerykanom, którzy według rządu byli zaangażowani w operacje — jednego z nich aresztowało FBI. Władze przeszukały również 29 „farm laptopów” w 16 stanach, rzekomo używanych do odbierania i hostowania komputerów, do których północnokoreańscy pracownicy uzyskują zdalny dostęp, i zajęły około 200 z tych komputerów, a także 21 domen internetowych i 29 kont finansowych, które otrzymywały przychody wygenerowane przez operację. Oświadczenie i akty oskarżenia Departamentu Sprawiedliwości ujawniają również, że Koreańczycy z Północy nie tylko stworzyli fałszywe dowody osobiste, aby wkraść się do zachodnich firm technologicznych, według władz, ale rzekomo ukradli tożsamości „ponad 80 osób ze Stanów Zjednoczonych”, aby podszywać się pod nie w pracy w ponad stu amerykańskich firmach i przekazywać pieniądze reżimowi Kima.

„To jest ogromne” — mówi Michael Barnhart, śledczy zajmujący się północnokoreańskim hakowaniem i szpiegostwem w DTEX, firmie ochroniarskiej skoncentrowanej na zagrożeniach wewnętrznych. „Zawsze, gdy masz farmę laptopów taką jak ta, to jest to miękka strona tych operacji. Zamykanie ich w tak wielu stanach, to jest ogromne”.

W sumie Departament Sprawiedliwości twierdzi, że zidentyfikował sześciu Amerykanów, którzy jego zdaniem brali udział w spisku mającym na celu umożliwienie podszywania się pod północnokoreańskich pracowników technicznych, chociaż tylko dwóch zostało wymienionych i oskarżonych — Kejia Wang i Zhenxing Wang, oboje mieszkający w New Jersey — a aresztowano tylko Zhenxing Wang. Prokuratorzy oskarżają tych dwóch mężczyzn o pomoc w kradzieży tożsamości wielu Amerykanów, których Koreańczycy z Północy mieli przywłaszczyć, o przyjmowanie laptopów wysyłanych do nich przez pracodawców, konfigurowanie zdalnego dostępu dla Koreańczyków z Północy w celu kontrolowania tych maszyn z całego świata — często umożliwiając ten zdalny dostęp za pomocą urządzenia sprzętowego zwanego „przełącznikiem klawiatury-wideo-myszy” lub KVM — oraz tworzenie firm-wydmuszek i kont bankowych, które umożliwiały rządowi Korei Północnej otrzymywanie rzekomo zarobionych przez nich pensji. Departament Sprawiedliwości twierdzi, że dwaj Amerykanie współpracowali również z sześcioma wymienionymi chińskimi współspiskowcami, zgodnie z dokumentami oskarżenia, a także z dwoma obywatelami Tajwanu.

Aby stworzyć tajne tożsamości dla północnokoreańskich pracowników, prokuratorzy twierdzą, że dwaj Wangowie uzyskali dostęp do danych osobowych ponad 700 Amerykanów podczas przeszukiwania prywatnych rejestrów. Jednak w przypadku osób, pod które podszywali się Koreańczycy z Północy, rzekomo posunęli się o wiele dalej, wykorzystując skany praw jazdy i kart ubezpieczenia społecznego ofiar kradzieży tożsamości, aby umożliwić Koreańczykom z Północy aplikowanie o pracę pod ich nazwiskami, zgodnie z informacjami Departamentu Sprawiedliwości.

Z dokumentów oskarżenia nie wynika jasno, w jaki sposób rzekomo uzyskano te osobiste dokumenty. Jednak Barnhart z DTEX twierdzi, że północnokoreańskie operacje podszywania się pod kogoś zazwyczaj uzyskują dokumenty tożsamości Amerykanów z forów cyberprzestępców w darknecie lub witryn wycieku danych. W rzeczywistości twierdzi, że ponad 80 skradzionych tożsamości wymienionych przez Departament Sprawiedliwości stanowi niewielką próbkę tysięcy amerykańskich dowodów tożsamości, które widział w niektórych przypadkach wyciągnięte z infrastruktury północnokoreańskich operacji hakerskich.

„Mają całą stajnię takich” — mówi Barnhart. „Gdziekolwiek przestępca zdobędzie dowód tożsamości, po prostu się do niego przyczepi, bo wtedy nie musi nawet dokonywać włamania. To już jest”. Barnhart mówi, że widział północnokoreańskich imitatorów posuwających się tak daleko, że sprawdzali swoje skradzione tożsamości pod kątem przeszłości kryminalnej, a nawet podszywali się pod Amerykanów mieszkających w stanach bez podatku dochodowego, aby zmaksymalizować swoje dochody.

Oprócz zarzutów Departamentu Sprawiedliwości przeciwko Keji Wang i Zhenxing Wang, prokuratorzy ogłosili również, że FBI przeprowadziło przeszukania 21 innych podejrzanych farm laptopów w 14 stanach USA i skonfiskowało około 137 komputerów, które według prokuratorów były używane w północnokoreańskich schematach pracy zdalnej. W dwóch innych przypadkach prokuratorzy twierdzą, że Koreańczycy z Północy wykorzystali dostęp wewnętrzny, który uzyskali podszywając się pod zachodnich pracowników technologicznych w firmach kryptowalutowych, do kradzieży funduszy o wartości ponad 900 000 USD, w tym około 740 000 USD skradzionych z jednej firmy z siedzibą w Atlancie.

Podczas gdy większość północnokoreańskich schematów podszywania się, które Departament Sprawiedliwości usiłował udaremnić, wydawała się być ukierunkowana na pieniądze, prokuratorzy zauważają również, że jedną z firm, do których północnokoreańscy pracownicy włamali się w ramach operacji rzekomo ułatwionej przez dwóch Wangów, był kalifornijski wykonawca kontraktów obronnych, który koncentrował się na technologii związanej ze sztuczną inteligencją. W tym przypadku rząd twierdzi, że północnokoreańscy podszywacze uzyskali również dostęp i prawdopodobnie ukradli dane techniczne, w tym pewne informacje wystarczająco wrażliwe, aby podlegać ochronie na mocy kontroli eksportu znanej jako International Trafficking in Arms Regulations, czyli ITAR.

Chociaż naloty, akty oskarżenia i aresztowania przeprowadzone przez Departament Sprawiedliwości i FBI są znaczące, jak twierdzi Barnhart z DTEX, to jednak są dalekie od zakończenia prób infiltracji zachodnich i amerykańskich firm przez Koreę Północną, zarówno w celach zarobkowych, jak i szpiegowskich. W końcu tylko jeden podejrzany jest w areszcie, nawet wśród osób wymienionych przez Departament Sprawiedliwości — a niezliczona liczba Koreańczyków z Północy zamieszanych w tego typu plany pozostaje nietknięta w granicach reżimu i w sąsiednich regionach Chin, w których działają.

„To mocno uderzy w to, co robią” — mówi Barnhart. „Ale gdy my się dostosowujemy, oni się dostosowują”.