Хакеры КНДР на удаленке. Келли Филлипс Эрб
Думаете, что благодаря IT-отделу работодателя ваши личные данные в безопасности? Подумайте еще раз.
Министерство юстиции США рассекретило ряд судебных документов, в которых идет речь о хищении персональных данных и других преступлениях, связанных с КНДР. Прокуроры, утверждающие, что северокорейские IT-работники проникают в американские компании и похищают у них деньги, называют это крупнейшим случаем применения подобного рода мошеннической схемы.
Схема
Согласно документам суда, Северная Корея отправляла тысячи квалифицированных сотрудников IT-сферы по всему миру, чтобы те проникали в сети американских компаний и собирали деньги на северокорейскую программу вооружения в нарушение санкций со стороны США и ООН. Схемы подразумевали кражу средств более чем у 300 предприятий в Соединенных Штатах, включая многие всемирно известные корпорации, использование американских платежных платформ и учетных записей на сайтах для поиска работы, прокси-серверы на территории США, а также привлечение американских граждан и организаций (некоторые из них даже не понимали, что помогают мошенникам).
Прокуроры говорят, что все это началось в 2020 году, когда группа зарубежных IT-сотрудников стала оказывать услуги американским фирмам в удаленном режиме. Чтобы добиться трудоустройства, злоумышленники похищали персональные данные американских граждан и подавались с их помощью в США на дистанционные вакансии. Как только договор был заключен (иногда через кадровые агентства), сотрудники получали доступ к внутренним системам американских предприятий. Причем они не только похищали данные и денежные средства, но и получали за свою работу миллионы долларов, а Налоговому управлению США предоставляли ложную информацию.
Кристина Мари Чэпман
Одна из обвиняемых — гражданка США Кристина Мари Чэпман, которую арестовали в аризонском Литчфилд-Парке. Настоящие имена ее сообщников неизвестны, но в обвинительном заключении они условно указаны как Джоны Доу (обозначение неизвестных мужского пола) 1–3 под вымышленными именами Цзихоу Хань, Хаожань Сю и Чуньцзи Цзинь.
Чэпман вменяют пособничество IT-работникам в подтверждении похищенных персональных сведений, чтобы те могли выдавать себя за граждан США. Так сотрудники из-за рубежа смогли устроиться на американские предприятия, включая телесеть из первой пятерки, IT-компанию из Кремниевой долины, производителя аэрокосмического оборудования, американского изготовителя автомобилей, магазин люксовых товаров и популярную в США медиакомпанию (в обвинительном заключении ее называют «одной из самых узнаваемых мировых компаний в сфере медиа и развлечений»), причем каждая из организаций входит в рейтинг 500 крупнейших компаний по версии Fortune. Сторона обвинения заявляет, что зарубежные работники также «выводили» (проще говоря, крали) данные по меньшей мере из двух американских фирм — международной сети ресторанов и американского производителя одежды.
Зарубежные IT-специалисты также трижды пытались получить работу и доступ к информации в двух правительственных агентствах США, однако попытки не увенчались успехом.
ФБР также выписало ордеры на обыск расположенных в США «ферм ноутбуков». Так называют дома, в которых находятся портативные компьютеры для зарубежных IT-сотрудников, создающие видимость, будто они работают на территории Штатов.
Место проживания Чэпман оказалось в числе тех, которые правоохранители обыскали в октябре 2023 года согласно ордеру, выданному федеральным окружным судом Аризоны. Женщину обвиняют в организации у себя дома «фермы ноутбуков» для содействия в реализации схемы. Прокуроры также заявляют, что она получала и подделывала чеки о заработной плате и принимала от американских компаний на собственные финансовые счета в американском банке прямые перечисления в качестве зарплаты для зарубежных IT-сотрудников.
«Использование украденных персональных данных граждан США само по себе является преступлением, но когда такие сведения применяются для трудоустройства поддерживающих связи с Северной Кореей иностранных граждан в американские компании, это подрывает национальную безопасность целой страны, ― отмечает директор отдела Налогового управления по криминальным расследованиям Гай Фикко. ― На протяжении более чем 100 лет специальные агенты отдела Налогового управления по криминальным расследованиям отслеживают денежные потоки, а их финансовая экспертиза в очередной раз сорвала планы преступников».
Прокуроры говорят, что изначально предложение поучаствовать в схеме Чэпман получила через LinkedIn ― там ее попросили стать американским лицом компании. По всей видимости, к настоящему моменту ее страница в социальной сети удалена.
Теперь Чэпман вменяют участие в преступном сговоре с целью хищения средств у Соединенных Штатов, в сговоре с целью осуществления мошенничества с помощью электронных средств связи, в сговоре с целью осуществления хищения банковских средств, кражу персональных данных при отягчающих обстоятельствах, участие в преступном сговоре с целью хищения персональных данных, участие в сговоре с целью отмывания денежных инструментов, деятельность в качестве нелицензированного бизнеса по переводу денег и незаконное трудоустройство иностранных граждан. Ее соучастникам вменяют участие в преступном сговоре с целью отмывания денег.
Пока что Чэмпан лишь предъявили обвинения, но женщина на них еще не ответила. Если ее признают виновной, ей грозит максимальный срок — 97,5 лет тюремного заключения, в том числе обязательный минимум в два года за кражу персональных данных при отягчающих обстоятельствах.
Согласно документам суда, сейчас интересы Чэпман представляет федеральный адвокат.
Джоны Доу тем временем остаются на свободе. Государственный департамент США объявил о награде за информацию о сообщниках Чэпман в размере до $5 млн. Любого, кто владеет сведениями о людях под псевдонимами Цзихоу Хань, Хаожань Сю и Чуньцзи Цзинь, связанных с ними лицами и организациями либо об их деятельности по получению дохода и отмыванию денег, Минюст США просит обратиться в офис программы «Награда за правосудие».
Старший помощник заместителя генерального прокурора Николь М. Арджентьери, глава криминального отдела Министерства юстиции, заявляет: «Обвинения по данному делу должны стать тревожным звонком для американских компаний и правительственных агентств, где работают дистанционные IT-сотрудники. Эти преступления выгодны правительству Северной Кореи, являются для него источником заработка и в некоторых случаях похищаемой сообщниками служебной информации».
Александр Диденко
В округе Колумбия также был рассекречен иск с обвинениями в адрес уроженца Киева Александра Диденко в том, что он реализовывал отдельную схему по созданию подставных учетных записей на американских платформах по поиску работы в сфере IT с применением американских сервисов для перевода денежных средств.
Согласно материалам жалобы, Диденко управлял сайтом upworksell.com, который якобы предоставлял услуги дистанционным IT-сотрудникам. Как гласит письменное заявление, которое сделал изучавший интернет-страницу специальный агент ФБР, в рекламе на сайте говорилось, что удаленные IT-работники могут покупать или брать в аренду аккаунты, оформленные на других людей. Кроме того, сайт продвигал «аренду кредитных карт» в Евросоюзе и США и аренду SIM-карт для мобильных телефонов. В последнем случае клиенты отправляли деньги к зачислению на карту, а Диденко предоставлял в ответ информацию по ней, взимая за это комиссию.
Предположительно, у мужчины был целый ряд вариантов получения оплаты за свои услуги, включая USDT (стейблкоин Tether), BUSD (стейблкоин Binance), USDC (долларовый стейблкоин) и аккаунты в американских сервисах денежных переводов.
Прокуроры уверены: все это было лишь частью «полного спектра услуг», куда также входили постановочные собеседования, чтобы клиенты могли выдавать себя за других людей и заключать договоры на дистанционное трудоустройство с ничего не подозревающими фирмами.
Домен upworksell.com с тех пор арестован по судебному постановлению Министерства юстиции, а весь трафик сайта перенаправляется в ФБР. Сейчас на странице об этом выставлено соответствующее сообщение.
Согласно письменному заявлению, в арсенале Диденко были «посреднические» персональные данные приблизительно 871 человека, прокси-аккаунты на трех американских платформах по набору IT-персонала и трех различных американских площадках для осуществления денежных переводов. Вместе со своими сообщниками обвиняемый наладил работу по меньшей мере трех «ферм ноутбуков» в Соединенных Штатах, причем одно время общее количество компьютеров на них достигало 79.
По словам стороны обвинения, в своих сообщениях Диденко допускал, что оказывает содействие IT-сотрудникам из Северной Кореи. Вдобавок к этому в ноябре 2023 года одна фирма из США, специализирующаяся на кибербезопасности, нашла на одной онлайн-платформе для хранения данных документы, где описаны попытки северокорейских IT-специалистов трудоустроиться в дистанционном режиме. Согласно документам суда, фирма «с высокой степенью уверенности» сделала вывод о том, что к данным файлам может быть причастна группа шпионов со связями в Северной Корее. В частности, компания заявила: «Несколько из найденных нами документов содержали информацию, которая более четко указывает на Северную Корею. Многие пароли, связанные с данными документами, сделаны путем набора корейского текста на американской раскладке клавиатуры, а некоторые включают слова, используемые только в Северной Корее. Более того, на компьютерах стоящих за этими кампаниями злоумышленников активированы настройки корейской клавиатуры».
Среди документов имеются руководства и советы по успешному трудоустройству, написанию сопроводительных писем, оформлению резюме, образцы резюме подставных IT-сотрудников и пошаговые разборы собеседований. Несколько документов относятся к размещению объявлений на онлайн-площадках по поиску работы, которую в итоге заполучили северокорейские IT-специалисты ― это вакансии американских работодателей, судя по деловым записям, впоследствии оказавшиеся связанными с компьютерами в доме Чэпман (прокуроры заявляют, что деятельность Диденко и Чэпман была взаимосвязана).
Один из клиентов Диденко из числа зарубежных IT-сотрудников также просил отправить ноутбук с одной из «ферм» Диденко на «ферму ноутбуков» Чэпман ― это свидетельствует о связях между двумя ячейками в рамках сети зарубежных IT-специалистов из Северной Кореи. Ордеры на обыск четырех домов с «фермами ноутбуков» под контролем Диденко в США были выписаны федеральным судом в южном округе Калифорнии, восточном округе Теннесси и восточном округе Вирджинии.
Если мужчину признают виновным, ему светит максимальное наказание в виде 67,5 лет тюремного заключения, в том числе обязательный минимум в два года за хищение персональных данных при отягчающих обстоятельствах. Диденко был арестован по запросу США 6 мая правоохранительными органами Польши. Американские власти требуют экстрадиции задержанного в Соединенные Штаты.
Намерен ли обвиняемый пользоваться в США услугами адвоката, в судебных документах не уточняется.
Тревожные сигналы
В 2022 году ФБР, Госдепартамент и Министерство финансов США выпустили рекомендацию, в которой предупреждали международное сообщество, частный сектор и широкую общественность об угрозе со стороны северокорейских IT-специалистов. В 16-страничном руководстве содержалась подробная информация о том, как работают IT-сотрудники из КНДР, какие тревожные сигналы должны распознавать компании, нанимающие разработчиков-фрилансеров, профильные платформы и платежные сервисы, а также общие упреждающие меры, с которыми предприятия смогут лучше защититься от заведомого найма таких сотрудников и пособничества их деятельности.
В октябре 2023 года власти США и Южной Кореи выпустили обновленные рекомендации. В них перечислены дополнительные признаки, которые следует учитывать в свете мошеннической активности северокорейских IT-работников, и меры по ее пресечению, которые международному сообществу, частному сектору и широкой общественности нужно предпринимать во избежание найма дистанционных специалистов из КНДР.
ФБР призывает американские компании сообщать о подозрительной активности, включая любую деятельность, которую предположительно осуществляют северокорейские IT-сотрудники.