В июне 2025 года Министерство юстиции США объявило о масштабных действиях против преступной схемы, связанной с трудоустройством северокорейских IT-специалистов, направленной на обход международных санкций и финансирование режимов Северной Кореи. В результате операции был арестован один человек и изъяты 29 финансовых аккаунтов, 21 поддельный веб-сайт, а также порядка 200 компьютеров, размещенных в так называемых «фабриках ноутбуков» на территории США. Эти мероприятия имели своей целью приостановить деятельность криминальной сети, обеспечивающей подключение северокорейских работников к корпоративным системам более ста американских компаний, а также выявить связавшихся с ними посредников и организаторов. Схема трудоустройства северокорейских IT-специалистов представляет собой сложную международную операцию, включающую участие лиц из США, Китая, Объединенных Арабских Эмиратов и Тайваня. Используя поддельные и украденные идентификационные данные, северокорейские исполнители получают удаленную работу в американских компаниях, зачастую связанных с высокотехнологичным сектором и оборонной промышленностью.
Получая регулярную зарплату, они получают доступ к конфиденциальной информации, в том числе к данным об экспортно-контролируемых технологиях и виртуальной валюте. Одним из ярких примеров стало хищение более 900 тысяч долларов в цифровых активах у блокчейн-компании, расположенной в Атланте. Такой вид деятельности представляет собой не только источник нелегального дохода для Северной Кореи, но и создает серьезные риски для национальной безопасности США. Внутренний доступ, который получают северокорейские IT-специалисты, позволяет им красть данные, вымогать деньги у работодателей, а также внедрять вредоносные программы и изменять критически важный код. Расследование выявило, что западные посредники занимались приемом и хранением рабочих ноутбуков, выдаваемых работодателями, а затем обеспечивали удаленное подключение северокорейских работников через специальные устройства для управления клавиатурой, видеопотоком и мышью (KVM).
Такие технологии позволяли эффективно замаскировать реальные места нахождения удаленных сотрудников, создавая иллюзию их присутствия на территории США. Кроме того, посредники создавали и управляли многочисленными подставными компаниями с правдоподобными веб-сайтами и банковскими счетами, через которые поступали средства от пострадавших компаний и далее переводились зарубежным соучастникам. Это позволяло казаться, что сотрудники легитимно связаны с американскими предприятиями, значительно затрудняя выявление мошенничества. Федеральное бюро расследований охарактеризовало эти действия как часть глобальной схемы, которую использует режим Северной Кореи для финансирования своих военных программ и обхода экономических санкций. Использование IT-специалистов для таких целей расширяет возможности Северной Кореи по сбору информации и извлечению прибыли вне пределов официальных государств и организаций.
Помимо задержания гражданина США, вовлеченного в организацию схемы, под следствием оказались также лица из Китая и Тайваня, которые помогали в компрометации более 80 личностей американских граждан для получения удаленной работы в свыше ста компаниях. Эти действия происходили в период с 2021 по октябрь 2024 года. Сам арестованный при этом не просто помогал маскировать трудоустройство, но и лично встречался с зарубежными соучастниками, координируя их деятельность и обсуждая детали реализации преступного замысла. Помимо этого, в Грузии были предъявлены обвинения четырем северокорейским гражданам в крупном мошенничестве с виртуальной валютой, связанном с хищением около 900 тысяч долларов. Они проникли в блокчейн-компании и использовали уязвимости при работе с цифровыми активами, в том числе изменяя исходный код смарт-контрактов.
Украденные средства отмывались через криптовалютные миксеры и переводились на аккаунты с поддельными документами из Малайзии, что свидетельствует о высоком уровне координации и технической подготовки преступной группы. Microsoft также внесла значительный вклад в противодействие данной угрозе, заблокировав около 3000 учетных записей электронной почты и платформы Outlook/Hotmail, связанных с северокорейскими IT-специалистами. В компании отслеживают такие угрозы под кодовыми именами Jasper Sleet, Nickel Tapestry и UNC5267. Специалисты Microsoft отмечают, что злоумышленники активно используют искусственный интеллект и технологии глубоких подделок для создания фальшивых профилей в социальных сетях и на профессиональных платформах, таких как LinkedIn и GitHub, чтобы повысить доверие потенциальных работодателей. Важной частью тактики преступников является размещение объявлений о наборе «фасилитаторов», чья задача – помочь IT-специалистам проходить процедуры проверки и создавать видимость легального трудоустройства.
Эти посредники не только обеспечивают получение банковских счетов и приобретение SIM-карт, но и проверяют подлинность идентификационных документов с помощью онлайн-сервисов. В документах используются ложные, украденные или поддельные документы, включая водительские права, социальные карты и паспорта. Эксперты по кибербезопасности предупреждают, что подобные схемы постоянно развиваются и адаптируются под новые меры безопасности. В связи с этим работодатели должны применять комплексные меры проверки соискателей и постоянно обновлять стандарты безопасности. Важно не ограничиваться только проверкой технологий найма, а комплексно анализировать поведение сотрудников, их цифровой след и подозрительные активности в системе.
