ІТ для чучхе. Як північнокорейські програмісти спонсорують режим КНДР

Уявлення про КНДР як відсталу країну, яку обійшла стороною цифрова трансформація, є дещо хибним. Інтернет тут досі доступний лише обраним, однак це не завадило режиму налагодити функціонування цілого кластера ІТ-фахівців, який може створити серйозну проблему для решти світу.

LIGA.Tech розбиралась, як він функціонує, як його агентам вдається обманом влаштовуватись у західні компанії та чому це ставить під сумнів глобальну кібербезпеку.

Неприхована загроза

Після падіння СРСР й припинення допомоги КНДР довелось імпровізувати в пошуках джерел "твердої валюти" для забезпечення функціонування режиму. Сюди входило виготовлення й продаж зброї радянських калібрів, різноманітних контрафактних товарів, наркотичних речовин, а також здавання в оренду бригад працівників, які фактично працюють на положенні рабів. Пандемія COVID-19 значно популяризувала дистанційну роботу, що відкрило нове вікно можливостей для Пхеньяну.

За оцінками ФБР і Держдепу США, в КНДР з 2018 року працює підпільний кластер айтівців. Він налічує тисячі працівників й заробляє в обхід санкцій від $250 млн до $600 млн щороку. Причому найбільша проблема навіть не в тому, що ці кошти йдуть на фінансування розробки ядерної зброї та програм балістичних ракет. Північнокорейські фахівці також виступають "кротами", які збирають конфіденційну інформацію й створюють вразливості в системах кібербезпеки західних компаній.

За підрахунками компанії з кібербезпеки CrowdStrike, у 2024 році було зафіксовано понад 300 інцидентів з підставними північнокорейськими ІТ-фахівцями. Їх основною метою залишаються компанії зі США, однак останнім часом вони активізувались й в інших країнах, особливо європейських. Пов’язують це з тим, що американські компанії більш обізнані щодо загрози й ретельніше підходять до рекрутингу працівників.

У групі ризику – компанії, які дозволяють своїм спеціалістам працювати з власних комп’ютерів. Це дозволяє їм уникати поширених способів моніторингу на кшталт логування чи перевірки корпоративних девайсів. Програми TinyPilot та PiKVM дозволяють створювати ілюзію, що людина фізично працює за комп’ютером, а не через віртуальну машину.

Основний фокус робиться на стартапах, що саме стрімко набирають обертів. У процесі наймання нових працівників там можуть приділяти значно менше уваги їхній перевірці, ніж у великих корпораціях.

Проте деякі північнокорейські айтівці примудрялися влаштовуватися на роботу до учасників списку Fortune 500 (рейтинг найбільших компаній за валовим доходом). Цьому допомагали витончено вигадані "легенди", які вводили в оману навіть досвідчених спеціалістів з HR і безпеки. Як їм це вдавалося?

Фальсифікація нового рівня

Отримати базові навички з інформатики й програмування північнокорейські громадяни можуть в Університеті імені Кім Ір Сена, а також Пхеньянському університеті технологій і науки, де викладаються відповідні курси. Найбільш здібних і лояльних до режиму направляють до спеціалізованих військових та державних установ, де вони можуть поглибити свої знання й далі потрапити в спеціалізовані групи.

Плани розвивати сектор інформаційних технологій озвучив батько нинішнього диктатора, Кім Чен Ір, ще у березні 2001 року. Цьому наміру саме посприяло послаблення між двома Кореями в першому десятилітті XXI століття. Уряд в Сеулі навіть підштовхував Samsung інвестувати $73 млн у національний університет дослідження інформатики КНДР. Іронічно, що після цього у 2013 році одними з перших мішеней північнокорейських хакерських атак стануть банки й інші установи південного сусіда.

Проте навчитись кодувати – це менше половини справи. Справжнім викликом є створення достатньо переконливої фальшивої особистості, щоб успішно влаштуватись на роботу за кордоном. Щоб видавати себе за громадян інших країн, північнокорейські айтівці працюють з Китаю чи РФ, залучають посередників та широкий спектр інструментів. Поширення нейромереж значно спростило їм завдання.

Найчастіше вони використовують справжні паспорти, водійські права чи картки соціального страхування, які були отримані шляхом крадіжки чи підміни особистих даних. Якщо це не вдається, північнокорейські айтівці користуються підробками різного рівня якості. В них використовується змішування реальної та фальшивої інформації. Так за основу фото профілю може братись зображення реальної людини, на яке з допомогою ШІ накладається обличчя програміста з КНДР. Воно цілком може пройти базову перевірку.

Для проходження співбесіди по відео з HR-спеціалістом аферисти, подібно до шпигунів, створюють повноцінні "легенди" з передісторіями та детальними відповідями на найбільш поширені запитання. Хоча деякі часто видають себе на тому, що не можуть відповісти на прості питання про своє життя, якщо цього немає у їхніх резюме.

Якщо компанія наполягає на використанні саме корпоративних ноутбуків, то в хід йшла наступна схема: пристрій надсилався посереднику зі США чи іншої західної країни. Там він його під'єднував до мережі, після чого зловмисник працював віддалено за допомогою програмного забезпечення на кшталт Chrome Remote Desktop, AnyDesk, Splashtop Streamer, TeamViewer, RustDesk тощо. Завдяки цьому під час перевірки виглядало, що фахівці справді працюють зі США, а не РФ, Китаю, Лаосу чи інших лояльних до КНДР держав.

Для приховування свого справжнього місцеперебування північнокорейці також використовують VPN, а на випадок бажання працедавця поговорити телефоном – віртуальні телефонні номери. Це теж часто приводило до досить курйозних викриттів: одного разу айтівець з КНДР заявляв, що проживає і працює в Польщі, а в перший день роботи заходив з іспанської IP-адреси.

Потенційні цілі вони шукають на популярних західних платформах для пошуку роботи та фрилансу на кшталт Upwork чи Freelancer, а також у месенджері Telegram. Вони створюють записи на основі фейкових особистостей і розсилають сотні заявок на вакансії завдяки нейромережам. Окремі йдуть на створення фальшивих вебсторінок компаній, де нібито раніше працювали. Це часто дозволяє пройти їм всі потрібні перевірки.

За підрахунками ФБР, один такий працівник може заробляти до $300 000 на рік, а група з кількох осіб – $3 млн. Для виведення коштів зловмисники послуговуються платіжними онлайн-платформами чи криптовалютою.

Найчастіше аферисти видають себе за громадян Італії, Японії, Малайзії, Сінгапуру, Сполучених Штатів, В’єтнаму і навіть України. Згідно зі звітом Google, був зафіксований випадок, коли один північнокорейський айтівець керував щонайменше 12 підставними особистостями в США та Європі. Найчастіше вони звертають увагу на вакансії, пов’язані зі створенням ботів, системами менеджменту контенту і блокчейну.

Троянський кінь з Пхеньяна

У минулому і поточному році ФБР відзвітувало про арешт кількох посередників, які працювали разом з підпільними північнокорейськими айтівцями. Вони розміщали в себе вдома "ферми ноутбуків", допомагали з працевлаштуванням і навіть відмиванням отриманих коштів за свій відсоток. Бюро пообіцяло гонорар у $5 млн за корисну інформацію про шахрайські схеми з айтівцями КНДР. Крім того, було закрито 17 сайтів і вилучено $1,5 млн, які використовувались для інфраструктури.

Велика загроза для ІТ-компаній полягає в тому, що навіть якщо їм вдасться вирахувати й звільнити такого "фахівця", проблеми можуть лише початися. Вони часто переходять до плану "Б" і починають вимагати великі суми грошей. Інакше погрожують "злити" в мережу особисті дані працівників чи іншу чутливу інформацію.

Досить часто північнокорейські айтівці вивчають системи захисту компаній, в яких працюють, чи запускають в систему шкідливі програми, щоб спростити своїм хакерам-співвітчизникам злам. На початку цього року сталася найбільша одночасна крадіжка активів онлайн: розташована в Дубаї криптобіржа Bybit втратила активів на майже $1,5 млрд. Основними підозрюваними вважаються північнокорейські хакери, й не виключено, що операція стала можливою завдяки допомозі їх колег зсередини.

Американські правоохоронці закликають ІТ-компанії ретельніше підходити до наймання віддалених працівників. Особливо звертати увагу на дивні моменти в трафіку чи під час відеодзвінків (можуть використовуватись ШІ-інструменти для зміни зовнішності).

Керівник криптовалютного стартапу g8keep Гаррісон Леджіо розповів виданню Fortune, що в його випадку 95% претендентів на роботу були підпільними айтівцями з КНДР, які видавали себе за американських розробників. Він придумав досить оригінальний спосіб виводити їх на чисту воду: просив сказати щось погане про вождя Кім Чен Ина, що є серйозним злочином у КНДР. Один з таких кандидатів у відповідь почав лаятись і заблокував Леджіо у месенджері.

Однак до ситуації не варто ставитись легковажно. На тлі успіху операції з Bybit і наявному зростанню амбіцій пхеньянського диктатора можна очікувати масштабування операцій підпільного ІТ-кластера КНДР, а також зростання їх складності й нахабства.