Angajat IT. Colaj: Ion Mateș / Hotnews. Foto: Shutterstock, Dreamstime

Specialiștii în IT falși ai Coreei de Nord, implicați în escrocherii, furturi și atacuri cibernetice, vizează companii europene în care încearcă să se angajeze, relatează site-ul tech The Register.

Regimul izolat al Coreei de Nord operează un grup de agenți care aplică pentru locuri de muncă la distanță în domeniul tehnologiei, iar dacă sunt angajați, își direcționează salariile către vistieria lui Kim Jong Un. Unii dintre aceștia instalează malware pe computerele companiei care le-a căzut victimă, fură datele angajatorilor și cer răscumpărări.

În cele mai fericite cazuri, unii nu își îndeplinesc sarcinile până când sunt demiși sau o fac într-un mod minimal, uneori pentru a putea încasa mai multe salarii de la angajatori diferiți.

Acești muncitori trimit CV-uri impresionante și, dacă reușesc să obțină un interviu, încearcă să-și mascheze accentul și înfățișarea.

Cum operează „IT”-iștii nord-coreeni

Una dintre tacticile lor preferate este să pretindă că webcam-ul lor este defect și, astfel, să evite apariția video în interviuri. De asemenea, folosesc inteligența artificială generativă pentru a crea portrete sau chiar pentru a furniza răspunsuri în timpul interviurilor.

Uneori, IT-iștii falși fac greșeli după ce sunt angajați, ca de exemplu să solicite ca un laptop de muncă pus la dispoziție de angajator să le fie trimis la o adresă care nu corespunde cu cea din CV-ul de angajare. Acesta poate fi un indiciu că au recrutat un intermediar local, care să mențină laptopul conectat la internet și rețeaa internă a companiei angajatoare.

Nord-coreenii folosesc apoi VPN-uri pentru a se conecta la laptopurile furnizate de angajator și se asigură că lucrează – sau cel puțin par să lucreze – la orele locale corespunzătoare. Intermediarii îi ajută, de asemenea, să transfere salariile către Phenian.u

Escrocheria a fost rafinată în ultimii ani, The Register și alte site-uri tech documentând că inclusiv companii de securitate cibernetică au căzut în plasa grupului operativ din Coreea de Nord.

Nord-coreeni au devenit tot mai activi în Europa

Un mesaj publicat săptămâna aceasta de Jamie Collier, consilier principal în cadrul Google Threat Intelligence Group, semnalează „o creștere a operațiunilor active în Europa” ale acestor muncitori.

„Activitatea muncitorilor IT din DPRK în mai multe țări îi transformă acum într-o amenințare globală”, avertizează acesta. „Deși Statele Unite rămân o țintă principală, în ultimele luni, muncitorii IT nord-coreeni au întâmpinat dificultăți în găsirea și menținerea locurilor de muncă în această țară. Acest lucru se datorează probabil unei conștientizări sporite a amenințării prin rapoarte publice, inculpărilor efectuate de Departamentul de Justiție al SUA și verificărilor legale privind dreptul la muncă”, explică acesta.

„Acești factori au determinat o expansiune globală a operațiunilor muncitorilor IT, cu un accent deosebit pe Europa”, a adăugat Collier.

Google și parteneri ai gigantului tech american au identificat muncitori IT nord-coreeni „căutând locuri de muncă în Germania și Portugalia” și au descoperit, de asemenea, „date de conectare pentru conturi de utilizatori pe platforme europene de recrutare și management al resurselor umane”.

Identități inventate și pașapoarte false descoperite în Serbia

Investigatorii au mai găsit „identități fabricate, inclusiv CV-uri cu diplome de la Universitatea din Belgrad, Serbia, și reședințe în Slovacia, precum și instrucțiuni pentru navigarea pe site-urile europene de angajare”.

„Un document conținea instrucțiuni specifice despre cum să se obțină locuri de muncă în Serbia, inclusiv utilizarea fusului orar sârb în timpul comunicărilor”.

De asemenea, au fost descoperite informații obținerea unor pașapoarte false, probabil pentru ca nord-coreeni să poată furniza apoi documente care să demonstreze dreptul la muncă sau de a deschide conturi bancare.

Agenții nord-coreeni au căutat locuri de muncă pe platforme precum Upwork, Telegram și Freelancer. Unii au cerut să fie plătiți în criptomonede sau prin servicii precum TransferWise și Payoneer.

SUA au luat deja măsuri împotriva grupului din Coreea de Nord

Google crede de asemenea că a găsit dovezi ale unor intermediar sofisticați în Marea Britanie.

„Un incident a implicat un muncitor IT din DPRK care a folosit facilitatori atât în Statele Unite, cât și în Regatul Unit. Remarcabil, un laptop corporativ, destinat teoretic utilizării în New York, a fost găsit funcționând în Londra, ceea ce indică un lanț logistic complex”, a scris Collier.

Cei de la Google consideră că muncitorii falși vizează acum companiile care au politici de tip „Bring Your Own Device” (folosește-ți dispozitivul propriu la muncă) deoarece, dacă pot folosi propriul laptop, este puțin probabil ca instrumentele de management IT ale companiei să poată interveni. De asemenea, BYOD înseamnă că angajatorii nu trebuie să trimită un laptop, astfel încât nu există o adresă poștală care să poată fi folosită pentru a investiga un muncitor suspect.

Google crede că vor fi necesare investigații, deoarece a observat că falsificatorii nord-coreeni vizează tot mai des angajatori mari și recurg tot mai frecvent la șantaj.

„În aceste incidente, muncitori IT recent concediați au amenințat că vor divulga date sensibile ale foștilor angajatori sau că le vor oferi unui competitor. Aceste date includeau informații proprietare și cod sursă pentru proiecte interne”, a scris Collier, sugerând că această creștere a tentativelor de șantaj ar putea avea legătură cu intensificarea acțiunilor SUA împotriva muncitorilor falși, ceea ce îi face să fie disperați să-și mențină veniturile ilicite.

FBI a emis îndrumări despre cum pot fi identificați muncitorii IT falși din Coreea de Nord, printre semnele revelatoare numărându-se evitarea întâlnirilor în persoană, schimbarea metodelor de plată preferate pe platformele de freelancing și profilurile online care nu conțin o imagine.