Як північнокорейські агенти намагаються проникнути в криптокомпанії США

Пропонуємо вашій увазі переклад статті CNN про те, як північнокорейські IT-працівники все частіше намагаються влаштуватися на роботу в криптокомпанії США та часто досягають успіху в цьому.

Девін, засновник криптовалютного стартапу в Сан-Франциско, одного дня в лютому прокинувся від найдивнішого телефонного дзвінка у своєму житті.

Чоловік на іншому кінці, агент ФБР, сказав Девіну, що, здавалося б, справжній розробник програмного забезпечення, якого він найняв минулого літа, був північнокорейським оперативником, який відправив десятки тисяч доларів своєї зарплати авторитарному режиму країни.

За його словами, приголомшений Девін поклав слухавку та негайно відключив співробітника від облікових записів компанії.

«Він був хорошим контриб’ютором», — нарікав Девін, спантеличений чоловіком, який заявив, що він китаєць і пройшов кілька раундів співбесід, щоб отримати роботу. (CNN використовує псевдонім для Девіна, щоб захистити ідентичність його компанії).

Те, з чим зіштовхнувся Девін, є лише одним із прикладів, що, за словами офіційних осіб США, є невпинними зусиллями уряду Північної Кореї проникнути та красти у криптовалютних та інших технологічних фірм по всьому світу, щоб допомогти фінансувати незаконну програму створення ядерної та балістичної зброї Кім Чен Ина.

Згідно з даними Організації Об’єднаних Націй, хакери, яких підтримує уряд Північної Кореї, за останні роки вкрали еквівалент мільярдів доларів, здійснивши рейди на біржі криптовалют. За словами ФБР і приватних детективів, у деяких випадках їм вдавалося заволодіти сотнями мільйонів доларів за одне пограбування.

Тепер федеральні слідчі США публічно попереджають про ключову основу стратегії Північної Кореї, згідно з якою режим розміщує оперативників на технічних посадах у всій галузі інформаційних технологій.

ФБР, Міністерство фінансів США та Державний департамент у травні опублікували рідкісне публічне попередження про тисячі «висококваліфікованих» ІТ-співробітників, які забезпечують Пхеньян «важливим потоком доходів», що допомагає фінансувати «найвищі пріоритети економіки та безпеки» режиму.

Це продумана схема заробляння грошей, яка покладається на підставні компанії, підрядників і обман, щоб полювати на нестабільну галузь, яка постійно шукає на найкращих талантів. Північнокорейські технічні працівники можуть заробляти понад $300 000 на рік — це в сотні разів більше, ніж середній дохід громадянина Північної Кореї — і до 90% їх зарплати йде режиму, згідно з даними уряду США.

«(Північнокорейці) сприймають це дуже серйозно», — розказала Су Кім, колишній аналітик ЦРУ по Північній Кореї. «Це не просто якась пересічна особа у своєму підвалі, що намагається майнити криптовалюту», — додала вона, маючи на увазі процес генерації цифрових грошей. «Це спосіб життя».

Цінність криптовалюти різко впала в останні місяці, виснаживши здобич Північної Кореї на багато мільйонів доларів. За даними Chainalysis, фірми, яка відстежує цифрову валюту, вартість північнокорейських активів, що знаходяться в криптовалютних «гаманцях» або рахунках, які не були переведені в готівку, впала більш ніж вдвічі з кінця минулого року, з $170 мільйонів до близько $65 мільйонів.

Але аналітики кажуть, що індустрія криптовалют є надто цінною мішенню для північнокорейських оперативників, щоб від неї відвернутися через відносно слабкий кіберзахист галузі та роль, яку криптовалюта може відігравати в уникненні санкцій.

Останніми місяцями офіційні особи США провели серію приватних брифінгів з іноземними урядами, такими як Японія, і з технологічними компаніями в США та за кордоном, щоб бити тривогу щодо загрози з боку ІТ-персоналу Північної Кореї. Про це CNN заявив представник міністерства фінансів, який спеціалізується на Північній Кореї.

Список компаній, на які націлені північнокорейці, охоплює практично всі аспекти сектору технологій для фрилансерів, включаючи компанії з обробки платежів та фірми з підбору персоналу, сказав чиновник.

Пхеньян роками робив ставку на своїх закордонних технічних працівників для отримання прибутку. Але пандемія коронавірусу — і час від часу карантини, які вона викликала в Північній Кореї — зробили технічну діаспору більш важливим джерелом фінансування для режиму, сказав CNN представник Міністерство фінансів США.

«Міністерство фінансів продовжуватиме націлюватися на зусилля КНДР по отриманню прибутку, включаючи його незаконну програму для ІТ-працівників і пов’язану з нею зловмисну кібердіяльність», – сказав Браян Нельсон, заступник міністра фінансів з питань тероризму та фінансової розвідки, у заяві CNN, використовуючи абревіатуру Північної Кореї.

«Компанії, які займаються або обробляють транзакції для [північнокорейських технічних] працівників, ризикують потрапити під санкції США та ООН», — додав Нельсон, який минулого місяця зустрічався з представниками уряду Південної Кореї, щоб обговорити шляхи протидії відмиванню грошей і кіберзлочинності в Північній Кореї.

CNN надіслала електронний лист і зателефонувала до посольства Північної Кореї в Лондоні, щоб отримати коментар.

Федеральні слідчі також шукають американців, які можуть надати свій досвід у цифрових валютах Північній Кореї.

У квітні 39-річний американський комп’ютерний програміст, на ім’я Вірджил Гріффіт, був засуджений до більш ніж п’яти років ув’язнення в США за порушення санкцій країни щодо Північної Кореї після того, як у 2019 році виступав там на блокчейн-конференції з доповіддю, як уникнути санкцій. Гріффіт визнав себе винним і в заяві, поданій судді перед винесенням вироку, висловив «глибокий жаль» і «сором» за свої дії, які він пояснив одержимою ідеєю побачити Північну Корею «до того, як вона впала».

Але довгостроковий виклик, з яким стикаються офіційні особи США, є набагато тоншим, ніж помітні блокчейн-конференції в Пхеньяні. Це передбачає спроби скоротити дифузні джерела фінансування, які уряд Північної Кореї отримує від своєї технічної діаспори.

Двогострий меч

Уряд Північної Кореї протягом тривалого часу отримував вигоду від того, що аутсайдери недооцінювали здатність режиму постояти за себе, процвітати на чорному ринку та використовувати інформаційні технології, які лежать в основі світової економіки.

Режим зібрав величезну кількість хакерів, виділяючи перспективних учнів з математики та природничих наук у школах, ставлячи Північну Корею в один ряд з Іраном, Китаєм і Росією, коли співробітники розвідки США обговорюють кіберсили.

Один із найвідоміших зламів за участю Північної Кореї стався у 2014 році, коли комп’ютерні системи Sony Pictures Entertainment були виведені з ладу, як помста за фільм «Інтерв’ю», який містить вигаданий сюжет про вбивство Кім Чен Ина. Через два роки північнокорейські хакери вкрали близько $81 мільйона у Банку Бангладеш, використав вразливість системи SWIFT для переказу банківських коштів.

Команди хакерів Північної Кореї за останні роки націлили свої погляди на ринок криптовалюти, який постійно розвивався. Часом результати були астрономічними.

За даними ФБР, у березні хакери, пов’язані з Пхеньяном, викрали у в’єтнамській компанії відеоігор криптовалюту, яка на той час становила еквівалент $540 мільйонів. Окрім того, північнокорейські хакери, ймовірно, стоять за крадіжкою на $100 мільйонів у каліфорнійської криптовалютної фірми, згідно з аналізатором блокчейну Elliptic.

«Більшість цих криптофірм і послуг ще дуже далекі від безпеки, яку ми бачимо в традиційних банках та інших фінансових установах», — сказав Фред План, головний аналітик фірми з кібербезпеки Mandiant, яка розслідувала підозрюваних північнокорейських технічних працівників.

Тисячі північнокорейських IT-спеціалістів за кордоном дають Пхеньяну двогострий меч: вони можуть отримувати зарплату, яка обходить санкції ООН і США, і йти прямо до режиму, а також іноді пропонувати хакерам із Північної Кореї зайти в криптовалютні чи інші технологічні фірми. ІТ-працівники іноді надають «логістичну» підтримку хакерам і переказують криптовалюту, йдеться в нещодавній заяві уряду США.

«Спільнота кваліфікованих програмістів у Північній Кореї, які мають дозвіл на контакт із західними людьми, безумовно, досить невелика», — сказав CNN Нік Карлсен, який до минулого року був аналітиком розвідки ФБР, зосередженим на Північній Кореї.

«Ці хлопці знають один одного. Навіть якщо певний ІТ-працівник не є хакером, він точно знає одного», — сказав Карлсен, який зараз працює в TRM Labs, фірмі, яка займається розслідуванням фінансових шахрайств. «Будь-яка вразливість, яку вони можуть виявити в системах клієнта, буде піддаватися серйозному ризику».

І технічні працівники, і хакери з Північної Кореї використали відносно відкритий характер процесу пошуку роботи – коли будь-хто у своїх інтересах може видати себе за будь-кого на таких платформах, як LinkedIn. Наприклад, наприкінці 2019 року ймовірні північнокорейські хакери видавали себе за рекрутерів на LinkedIn, щоб отримати доступ до конфіденційних даних, які зберігаються у співробітників двох європейських аерокосмічних і оборонних фірм, за словами дослідників фірми з кібербезпеки ESET.

«Ми активно шукаємо ознаки спонсорованої державою діяльності на платформі та швидко вживаємо заходів проти зловмисників, щоб захистити наших користувачів», — йдеться в заяві LinkedIn для CNN. «Ми не чекаємо на запити, наша команда розвідки загроз видаляє підроблені облікові записи, використовуючи інформацію, яку ми виявляємо, і розвідувальні дані з різних джерел, включаючи державні установи».

Вчимося розпізнавати червоні прапорці

Дехто в криптовалютній індустрії стає більш обережним, коли хоче найняти нових талантів. У випадку Джонатана Ву відеодзвінок із кандидатом на роботу у квітні зміг утримати його від того, щоб мимоволі найняти людину, бо він запідозрив, що це північнокорейський IT-спеціаліст.

Як керівник відділу маркетингу зростання в Aztec, компанії, яка пропонує функції конфіденційності для Ethereum, популярної криптовалюти, Ву шукав нового інженера-програміста, коли команда найму натрапила на багатообіцяюче резюме. Заявник писав про досвід роботи з незамінними токенами (NFT) та іншими сегментами ринку криптовалют.

«Він здавався тим, кого ми могли б найняти інженером», — сказав CNN Ву, який живе в Нью-Йорку.

Але Ву побачив ряд червоних прапорців у заявника, який назвався «Боббі Сьєрра». За словами Ву, він говорив англійською під час співбесіди, тримав вебкамеру вимкненою, і навряд чи міг чітко розповісти про свою передісторію, оскільки практично вимагав роботу в Aztec.

У підсумку Ву не найняв «Сьєрру», який стверджував у своєму резюме, що живе в Канаді.

«Здавалося, що він був у кол-центрі», — сказав Ву. «Здавалося, що в офісі було четверо чи п’ять хлопців, які також голосно розмовляли, також, здавалося, на співбесідах чи телефонних дзвінках і розмовляли корейською та англійською».

«Сьєрра» не відповів на повідомлення, надіслані на його електронну пошту та облікові записи Telegram із проханням прокоментувати.

CNN отримав резюме, які ймовірні північнокорейські технічні працівники надіслали до фірми Ву та криптовалютного стартапу, заснованого Девіном. Резюме здаються навмисно загальними, щоб не викликати підозр, і використовують модні слова, популярні в індустрії криптовалют, такі як «масштабованість» і «блокчейн».

Один підозрюваний північнокорейський оперативник, якого відслідковує Mandiant, фірма з кібербезпеки, ставив численні запитання іншим у спільноті криптовалют про те, як Ethereum працює та взаємодіє з іншими технологіями.

За словами головного аналітика Mandiant Майкла Барнхарта, північнокореєць, можливо, збирав інформацію про технологію, яка могла б бути корисною для її подальшого злому.

«Ці хлопці точно знають, чого хочуть від розробників Ethereum», — сказав Барнхарт. «Вони точно знають, що шукають».

Фальшиві резюме та інші хитрощі, якими користуються північнокорейці, ймовірно, стануть ще більш правдоподібними, сказав Кім, колишній аналітик ЦРУ, який зараз є політичним аналітиком аналітичного центру RAND Corp.

«Навіть попри те, що шпигунські техніки ще не ідеальні, з точки зору способів наближення до іноземців і використання їхніх вразливих місць, це все ще новий ринок для Північної Кореї», — сказав Кім CNN. «У світлі викликів, з якими стикається режим — нестача продовольства, менше країн, які бажають співпрацювати з Північною Кореєю… це буде те, що вони продовжуватимуть використовувати, тому що їх, по суті, ніхто не стримує».