Как северокорейские агенты пытаются проникнуть в криптокомпании США

Как северокорейские агенты пытаются проникнуть в криптокомпании США - Украина, Польша, Германия.

Предлагаем вашему вниманию перевод статьи CNN о том, как северокорейские IT-работники все чаще пытаются устроиться на работу в криптокомпании США и часто преуспевают в этом.

Девин, основатель криптовалютного стартапа в Сан-Франциско, однажды в феврале проснулся от самого удивительного телефонного звонка в своей жизни.

Мужчина на другом конце, агент ФБР, сказал Девину, что, казалось бы, настоящий разработчик программного обеспечения, которого он нанял прошлым летом, был северокорейским оперативником, отправившим десятки тысяч долларов своей зарплаты авторитарному режиму страны.

По его словам, ошеломленный Девин положил трубку и немедленно отключил сотрудника от аккаунтов компании.

«Он был хорошим контрибьютором», — сетовал Девин, озадаченный мужчиной, заявившим, что он китаец и прошел несколько раундов собеседований, чтобы получить работу. (CNN использует псевдоним для Дэвина, чтобы защитить идентичность его компании).

То, с чем столкнулся Девин, является лишь одним из примеров, что, по словам официальных лиц США, неустанные усилия правительства Северной Кореи проникнуть и воровать у криптовалютных и других технологических фирм по всему миру, чтобы помочь финансировать незаконную программу создания ядерного и баллистического оружия. Ким Чен Ина.

Согласно данным Организации Объединенных Наций, хакеры, поддерживаемые правительством Северной Кореи, за последние годы украли эквивалент миллиардов долларов, совершив рейды на бирже криптовалют. По словам ФБР и частных детективов, в некоторых случаях им удавалось завладеть сотнями миллионов долларов за одно ограбление.

Теперь федеральные следователи США публично предупреждают о ключевой основе стратегии Северной Кореи, согласно которой режим размещает оперативников на технических должностях во всей области информационных технологий.

ФБР, Министерство финансов США и Государственный департамент в мае опубликовали редкое публичное предупреждение о тысячах «высококвалифицированных» ИТ-сотрудников, обеспечивающих Пхеньян «важным потоком доходов», что помогает финансировать «высшие приоритеты экономики и безопасности» режима.

Это продуманная схема зарабатывания денег, которая полагается на подставные компании, подрядчиков и обман, чтобы охотиться на нестабильную отрасль, которая постоянно ищет лучшие таланты. Северокорейские технические работники могут зарабатывать более $300 000 в год — это в сотни раз больше среднего дохода гражданина Северной Кореи — и до 90% их зарплаты идет режиму, согласно данным правительства США.

«(Северокорейцы) воспринимают это очень серьезно», — рассказала Су Ким, бывший аналитик ЦРУ по Северной Корее. «Это не просто какое-то среднее лицо в своем подвале, пытающееся мелькнуть криптовалюту», — добавила она, имея в виду процесс генерации цифровых денег. «Это образ жизни».

Ценность криптовалюты резко упала в последние месяцы, истощив добычу Северной Кореи на многие миллионы долларов. По данным Chainalysis, фирмы, отслеживающей цифровую валюту, стоимость северокорейских активов, находящихся в криптовалютных «кошельках» или не обналиченных счетах, упала более чем вдвое с конца прошлого года, со $170 миллионов до около $65 миллионов.

Но аналитики говорят, что индустрия криптовалют является слишком ценной мишенью для северокорейских оперативников, чтобы от нее отвернуться из-за относительно слабой киберзащиты отрасли и роли, которую криптовалюта может играть во избежании санкций.

В последние месяцы официальные лица США провели серию частных брифингов с иностранными правительствами, такими как Япония, и с технологическими компаниями в США и за рубежом, чтобы избивать тревогу по поводу угрозы со стороны ИТ-персонала Северной Кореи. Об этом CNN заявил представитель министерства финансов, специализирующийся на Северной Корее.

Список компаний, на которые направлены северокорейцы, охватывает практически все аспекты сектора технологий для фрилансеров, включая компании по обработке платежей и фирмы по подбору персонала, сказал чиновник.

Пхеньян годами делал ставку на своих иностранных технических работников для получения прибыли. Но пандемия коронавируса — и время от времени вызванные ею карантины в Северной Корее — сделали техническую диаспору более важным источником финансирования для режима, сказал CNN представитель Министерства финансов США.

«Министерство финансов будет продолжать нацеливаться на усилия КНДР по получению прибыли, включая его незаконную программу для ИТ-работников и связанную с ней злонамеренную кибердеятельность», – сказал Брайан Нельсон, заместитель министра финансов по вопросам терроризма и финансовой разведки, в заявлении CNN аббревиатуру Северной Кореи.

«Компании, которые занимаются или обрабатывают транзакции для [северокорейских технических] работников, рискуют попасть под санкции США и ООН», — добавил Нельсон, который в прошлом месяце встречался с представителями правительства Южной Кореи, чтобы обсудить пути противодействия отмыванию денег и киберпреступности в Северной Коре.

CNN направила электронное письмо и позвонила посольству Северной Кореи в Лондоне, чтобы получить комментарий.

Федеральные следователи также ищут американцев, которые могут дать свой опыт в цифровых валютах Северной Кореи.

В апреле 39-летний американский компьютерный программист, по имени Вирджил Гриффит, был приговорен к более чем пяти годам заключения в США за нарушение санкций страны в отношении Северной Кореи после того, как в 2019 году выступал там на блокчейн. -конференции с докладом, как избежать санкций Гриффит признал себя виновным и в заявлении, поданном судье перед вынесением приговора, выразил «глубокое сожаление» и «стыд» за свои действия, которые он объяснил одержимой идеей увидеть Северную Корею «до того, как она упала».

Но долгосрочный вызов, с которым сталкиваются официальные лица США, намного тоньше, чем заметные блокчейн-конференции в Пхеньяне. Это предполагает попытки сократить диффузные источники финансирования, получаемые правительством Северной Кореи от своей технической диаспоры.

Двухострый меч

Правительство Северной Кореи долгое время получало выгоду от того, что аутсайдеры недооценивали способность режима постоять за себя, процветать на черном рынке и использовать информационные технологии, лежащие в основе мировой экономики.

Режим собрал множество хакеров, выделяя перспективных учеников по математике и естественным наукам в школах, ставя Северную Корею в один ряд с Ираном, Китаем и Россией, когда сотрудники разведки США обсуждают киберсилы.

Один из самых известных изломов с участием Северной Кореи произошел в 2014 году, когда компьютерные системы Sony Pictures Entertainment были выведены из строя, как месть за фильм «Интервью», содержащий вымышленный сюжет об убийстве Ким Чен Ина. Через два года северокорейские хакеры украли около $81 миллиона в Банке Бангладеш, использовал уязвимость системы SWIFT для перевода банковских средств.

Команды хакеров Северной Кореи за последние годы нацелили свои взгляды на постоянно развивающийся рынок криптовалюты. Порой результаты были астрономическими.

По данным ФБР, в марте хакеры, связанные с Пхеньяном, похитили у вьетнамской компании видеоигр криптовалюту, которая в то время составляла эквивалент в $540 миллионов. Кроме того, северокорейские хакеры, вероятно, стоят за кражей на $100 миллионов у калифорнийской криптовалютной фирмы, согласно анализатору блокчейна Elliptic.

«Большинство этих криптофирм и услуг еще очень далеки от безопасности, которую мы видим в традиционных банках и других финансовых учреждениях», — сказал Фред План, главный аналитик фирмы по кибербезопасности Mandiant, расследовавшей подозреваемых северокорейских технических работников.

Тысячи северокорейских IT-специалистов за границей дают Пхеньяну двуострый меч: они могут получать зарплату, обходящую санкции ООН и США, и идти прямо в режим, а иногда предлагать хакерам из Северной Кореи зайти в криптовалютные или другие технологические фирмы. ИТ-работники иногда оказывают «логистическую» поддержку хакерам и пересказывают криптовалюту, говорится в недавнем заявлении правительства США.

«Сообщество квалифицированных программистов в Северной Корее, имеющих разрешение на контакт с западными людьми, безусловно, достаточно невелико», — сказал CNN Ник Карлсен, который до прошлого года был аналитиком разведки ФБР, сосредоточенным на Северной Корее.

«Эти ребята знают друг друга. Даже если определенный ИТ-работник не хакер, он точно знает одного», — сказал Карлсен, который сейчас работает в TRM Labs, фирме, которая занимается расследованием финансовых мошенничеств. «Любая уязвимость, которую они могут проявить в системах клиента, будет подвергаться серьезному риску».

И технические работники, и хакеры из Северной Кореи использовали относительно открытый характер процесса поиска работы – когда кто-либо в своих интересах может выдать себя за кого-либо на таких платформах, как LinkedIn. К примеру, в конце 2019 года вероятные северокорейские хакеры выдавали себя за рекрутеров на LinkedIn, чтобы получить доступ к конфиденциальным данным, хранящимся у сотрудников двух европейских аэрокосмических и оборонных фирм, по словам исследователей фирмы по кибербезопасности ESET.

«Мы активно ищем признаки спонсируемой государством деятельности на платформе и быстро принимаем меры против злоумышленников, чтобы защитить наших пользователей», — говорится в заявлении LinkedIn для CNN. «Мы не ждем запросов, наша команда разведки угроз удаляет поддельные учетные записи, используя информацию, которую мы обнаруживаем, и разведывательные данные из разных источников, включая государственные учреждения».

Учимся распознавать красные флажки

Кое-кто в криптовалютной индустрии становится осторожнее, когда хочет нанять новых талантов. В случае Джонатана Ву видеозвонок с кандидатом на работу в апреле смог удержать его от того, чтобы невольно нанять человека, потому что он заподозрил, что это северокорейский IT-специалист.

Как руководитель отдела маркетинга роста в Aztec, компании, предлагающей функции конфиденциальности для Ethereum, популярной криптовалюты, Ву искал нового инженера-программиста, когда команда найма натолкнулась на многообещающее резюме. Заявитель писал об опыте работы с незаменимыми токенами (NFT) и другими сегментами рынка криптовалют.

«Он казался тем, кого мы могли бы нанять инженером», — сказал живущий в Нью-Йорке CNN Ву.

Но Ву увидел ряд красных флажков у заявителя, назвавшегося «Бобби Сьерра». По словам Ву, он говорил по-английски во время собеседования, держал вебкамеру выключенной, и вряд ли мог четко рассказать о своей предыстории, поскольку практически требовал работу в Aztec.

В итоге Ву не нанял «Сьерру», утверждавшего в своем живущем в Канаде резюме.

«Казалось, что он был в колл-центре», — сказал Ву. «Казалось, что в офисе было четверо или пять ребят, которые также громко разговаривали, также, казалось, на собеседованиях или телефонных звонках и разговаривали на корейском и английском».

«Сьерра» не ответил на сообщения, отправленные на его электронную почту и аккаунты Telegram с просьбой прокомментировать.

CNN получил резюме, которые вероятные северокорейские технические работники отправили в фирму Ву и криптовалютный стартапа, основанный Девином. Резюме кажутся намеренно общими, чтобы не вызывать подозрений, и используют модные слова, популярные в индустрии криптовалют, такие как «масштабируемость» и «блокчейн».

Один подозреваемый северокорейский оперативник, отслеживаемый Mandiant, фирма по кибербезопасности, задавал многочисленные вопросы другим в сообществе криптовалют о том, как Ethereum работает и взаимодействует с другими технологиями.

По словам главного аналитика Mandiant Майкла Барнхарта, северокореец, возможно, собирал информацию о технологии, которая могла бы быть полезна ее дальнейшему взлому.

«Эти ребята точно знают, чего хотят от разработчиков Ethereum», — сказал Барнхарт. «Они точно знают, что ищут».

Фальшивые резюме и другие уловки, которыми пользуются северокорейцы, вероятно, станут еще более правдоподобными, сказал Ким, бывший аналитик ЦРУ, являющийся сейчас политическим аналитиком аналитического центра RAND Corp.

«Даже, несмотря на то, что шпионские техники еще не идеальны, с точки зрения способов приближения к иностранцам и использования их уязвимых мест, это все еще новый рынок для Северной Кореи», — сказал Ким CNN. «В свете вызовов, с которыми сталкивается режим — нехватка продовольствия, меньше стран, желающих сотрудничать с Северной Кореей… это будет то, что они будут использовать, потому что их, по сути, никто не сдерживает».

Tags: