Молодые разработчики проводят лучшее время в своей жизни. Они открывают бутылки игристого вина, ужинают стейками, вместе играют в футбол и нежатся в роскошном частном бассейне - все это запечатлено на фотографиях, которые позже попали в интернет. На одной из фотографий мужчина позирует перед картонной фигурой Миньонов в натуральную величину. Но, несмотря на их буйство, это не успешные предприниматели Кремниевой долины; это ИТ-работники из Отшельнического королевства Северной Кореи, которые проникают в западные компании и отправляют свои заработки на родину.
Два члена группы северокорейских разработчиков, которые предположительно действовали из страны Юго-Восточной Азии Лаос, а к началу 2024 года были переведены в Россию, сегодня были идентифицированы исследователями из компании DTEX, занимающейся кибербезопасностью. Эти люди, которые, по мнению DTEX, использовали личности "Наоки Мурано" и "Дженсон Коллинз", предположительно участвовали в сборе денег для жестокого северокорейского режима в рамках широкомасштабной эпидемии ИТ-работников, причем Мурано, как утверждается, ранее был связан с ограблением криптовалютной компании DeltaPrime на сумму 6 миллионов долларов в прошлом году.
В течение многих лет Северная Корея Ким Чен Ына представляла собой одну из самых изощренных и опасных киберугроз для западных стран и предприятий: ее хакеры воровали интеллектуальную собственность, необходимую для разработки собственных технологий, а также расхищали миллиарды криптовалют, чтобы обойти санкции и создать ядерное оружие. В феврале ФБР объявило, что Северная Корея совершила крупнейшее в истории ограбление криптовалюты, похитив 1,5 миллиарда долларов с криптовалютной биржи Bybit. Наряду с опытными хакерами, ИТ-работники Пхеньяна, которые часто базируются в Китае или России, обманывают компании, нанимая их в качестве удаленных сотрудников, и становятся все более опасными.
"То, что мы делаем, не работает, а если и работает, то недостаточно быстро", - говорит Майкл "Барни" Барнхарт, ведущий северокорейский киберисследователь и главный следователь DTEX. Помимо идентификации Мурано и Коллинза, DTEX в подробном отчете о кибер-активности Северной Кореи также публикует более 1000 адресов электронной почты, которые, как утверждается, были связаны с деятельностью северокорейских ИТ-работников. Этот шаг является одним из самых крупных раскрытий информации о деятельности северокорейских ИТ-работников на сегодняшний день.
По словам Барнхарта в отчете DTEX, широкие кибер-операции Северной Кореи нельзя сравнивать с операциями других враждебных государств, таких как Россия и Китай, поскольку Пхеньян действует как "санкционированный государством преступный синдикат", а не как более традиционные военные или разведывательные операции. Все направлено на финансирование режима, разработку оружия и сбор информации, говорит Барнхарт. "Все так или иначе связано друг с другом"
Приблизительно в 2022 и 2023 годах DTEX утверждает, что Наоки Мурано и Дженсон Коллинз - их настоящие имена неизвестны - находились в Лаосе, а также совершали поездки между Владивостоком и Россией. Пара появилась среди более широкой группы возможных северокорейцев в Лаосе, а тайник с их фотографиями был впервые обнаружен в открытой папке Dropbox. Фотографии были обнаружены группой северокорейских исследователей, которые часто сотрудничают с Барнхартом и называют себя альянсом "Misfit". В последние недели они разместили в сети множество изображений предполагаемых северокорейских ИТ-работников.
Северокорейские ИТ-работники очень плодовиты в своей деятельности, часто пытаются проникнуть в несколько компаний одновременно, используя украденные личности или создавая фальшивые личины, чтобы казаться законными. Некоторые используют платформы для фриланса, другие пытаются нанять международных посредников для управления фермами ноутбуков. Хотя их личности в сети могут быть фальшивыми, страна, где миллионы людей не имеют элементарных прав человека и доступа к интернету, направляет талантливых детей в систему образования, где они могут стать квалифицированными разработчиками и хакерами. Это означает, что многие ИТ-работники и хакеры, скорее всего, знают друг друга, возможно, с самого детства. Несмотря на техническую подкованность, они часто оставляют за собой след из цифровых хлебных крошек.
Мурано был впервые публично связан с северокорейскими операциями криптовалютным расследователем ZachXBT, который в прошлом году опубликовал имена, данные криптовалютных кошельков и адреса электронной почты более 20 северокорейских ИТ-работников. Затем Мурано был связан с ограблением DeltaPrime, о котором Coinbase сообщила в октябре. Члены группы Misfits поделились фотографиями, на которых Мурано выглядит довольным собой, поедая стейк, и снимком предполагаемого японского паспорта.
В то же время Коллинз, которого DTEX включила в свой отчет и который был изображен на фотографиях бассейна, включенных в папку Dropbox, чаще всего занимался ИТ-работой, которая приносила доход Пхеньяну, говорит narcass3, член группы Misfits, который попросил назвать его онлайн-имя. "Он, похоже, в основном работал над крипто-/блокчейн-проектами, включая один, который, похоже, полностью поддерживается КНДР или состоит в основном из ИТ-работников", - говорит narcass3.
Эван Горденкер, старший менеджер-консультант группы разведки угроз Unit 42 компании Palo Alto Networks, говорит, что знаком с двумя персоналиями, идентифицированными DTEX и другими изданиями, и с группой северокорейских работников, которые базировались в Лаосе. По словам исследователя, эта группа рассылала множество заявок на работу, создавала поддельные личности и искала потенциальных сообщников. "Мне показалось, что они также наслаждались уровнем автономии, который, как мне кажется, не характерен для некоторых групп [ИТ-работников]", - говорит Горденкер. "Я не знаю, потому ли это, что они зарабатывали больше денег и получали больше привилегий, или просто потому, что у них был руководитель группы, который действовал таким образом."
По адресу электронной почты, указанному в имени Мурано, поступил ответ, когда мы связались с ним. В то же время адрес электронной почты на имя Коллинза не ответил на просьбу о комментарии.
Пхеньянские ИТ-работники действуют уже большую часть десятилетия, но внимание к их деятельности усилилось в последние 12 месяцев, когда компании из списка Fortune 500 осознали, что они случайно наняли северокорейцев. По словам Барнхарта, режим Ким Чен Ына устанавливает для команд хакеров и ИТ-работников "квоты на заработок", причем ИТ-работники работают в многочисленных военных и разведывательных организациях Северной Кореи. По словам следователя, один ИТ-работник, заработавший 5 000 долларов в месяц, мог оставить себе 200 долларов.
Вредоносные ИТ-работники, которые могут не только зарабатывать деньги, но и воровать, входят в недавно раскрытую в стране организацию искусственного интеллекта под названием 227 Research Center, которая является частью главного разведывательного агентства Reconnaissance General Bureau, а другие - в команды Министерства национальной обороны, согласно схеме киберорганизации, опубликованной Барнхартом в отчете DTEX. ИТ-работники, которые пытаются получить доход от своей работы, могут быть частью Департамента промышленности боеприпасов, говорится в исследовании.
Относительно недавний рост внимания к ИТ-работникам произошел на фоне усиления мер, принимаемых правительством США: В мае 2023 года под санкции попала северокорейская компания Chinyong Information Technology Cooperation Company, нанимавшая ИТ-работников в Лаосе и России, а в начале этого года под санкции Министерства финансов США попали две подставные северокорейские компании и их руководители в Китае и Лаосе. Казначейство заявило, что группы ИТ-работников зарабатывают для режима "сотни миллионов долларов", а тысячи ИТ-работников рассылаются по всему миру.
"ИТ-работники играют в игру чисел и подают заявки на удаленные должности в большом количестве, - говорит Рэйф Пиллинг, директор по анализу угроз в подразделении Sophos по борьбе с угрозами. Это означает, что они часто совершают ошибки". "Похоже, они работают в таком темпе, что могут совершать такие ошибки, как оставлять в открытом доступе репозитории Github с резюме и инструментами, оставлять комментарии в коде и скриптах, делать ошибки в резюме, что облегчает выявление подделок, и промахи на камеру во время интервью, которые могут раскрыть уловки"
Помимо идентификации Мурано и Коллинза, DTEX также опубликовал более 1 000 адресов электронной почты, предположительно связанных с деятельностью северокорейских ИТ-работников, которые были собраны в ходе расследований и сотрудничества с исследователями. По словам Барнхарта, каждый адрес электронной почты был предоставлен из нескольких источников. Анализ почти двух десятков электронных писем с использованием инструментов разведки с открытым исходным кодом и базы данных материалов, просочившихся в Интернет, показал, что лишь немногие из них имеют признаки подлинного поведения в Интернете; некоторые адреса электронной почты связаны с инструментами онлайн-разработчиков или сайтами фрилансеров, а другие практически не представлены в сети.
"Существует довольно много повторного использования персон, и некоторые из них существуют годы и годы, - говорит Горденкер из подразделения 42. Другие могут использоваться всего один раз, говорит Горденкер, но при необходимости мошенники могут быстро создать новые персоны. "Например, у работающего человека может быть четыре-пять-шесть разных мест работы в течение всей жизни".
По мере того как выявляется все больше ИТ-работников, они все чаще применяют свою тактику, стараясь сделать себя более трудноуловимыми. Многие исследователи в области кибербезопасности обнаружили, что северокорейцы используют программное обеспечение для изменения лица во время видеоинтервью или используют помощников с искусственным интеллектом, чтобы помочь ответить на вопросы в режиме реального времени.
Айтишник стоит посреди тесной комнаты и позирует для своей фотографии. Часы на стене показывают 11:30. На заднем плане еще трое мужчин в военной форме сгорбились над компьютерами. В задней части комнаты виднеется вешалка с бельем, которую впервые опубликовал DTEX. "В одном этом снимке можно многое разгадать", - говорит Барнхарт.
Барнхарт объясняет, что, хотя о фотографии многое неизвестно, она раскрывает некоторые подробности о том, как действует группа работников ИТ-отдела. У одного из мужчин в правом дальнем углу фотографии на экране компьютера открыты сообщения WhatsApp, и он ведет несколько чатов. На стене над ним прикреплена камера наблюдения.
"МГБ следит за ними, чтобы они не стали перебежчиками", - говорит Барнхарт, имея в виду контрразведку и тайную полицию Северной Кореи, Министерство государственной безопасности. Поскольку эти люди работают в небольшом рабочем помещении, они, скорее всего, занимают более низкое положение среди ИТ-работников и, как и их соотечественники, будут подвергаться цифровому наблюдению, когда пользуются компьютерами, говорит он. Барнхарт говорит, что программное обеспечение, которое он видел, следит за тем, что IT-работники набирают и отправляют на своих устройствах. "Они это ненавидят", - говорит он. "Она отправляет флаги на внешние серверы, когда речь заходит о сексуальных образах или сексуальном контенте, или если упоминается Ким Чен Ын". Другие исследователи заметили, что подозреваемые ИТ-работники заканчивают собеседования, когда им задают вариацию вопроса: "Насколько толстый Ким Чен Ын?"
Хотя неясно, где физически могут находиться мужчины в комнате, есть признаки того, что портретная фотография центрального субъекта была использована для создания ложной личности. Последующие изображения, полученные Барнхартом, показывают, как мужчину переодевают в другую одежду и превращают его лицо в карикатурную иллюстрацию.
"На них видно, как он изменяет линию волос. Видно, как он изменяет черты лица, видно, как он готовит свои профили", - говорит Барнхарт. Одна из этих фотографий, на которой он запечатлен в кожаной куртке, размещена на сайте "Бенджамина Мартина", самозваного web3 и full-stack разработчика.
Помимо того, что он похож на северокорейца с фотографии IT-работника, две компании, указанные в онлайн-резюме Мартина, сообщили, что не слышали об этом человеке и тем более не нанимали его на работу. Одна из компаний заявила, что она не была полностью зарегистрирована в течение большей части времени, когда указанный Мартином человек работал в ней. Мартин не ответил на сообщения, отправленные на электронную почту, указанную на веб-странице разработчика, а аккаунт в Telegram, связанный с номером телефона на сайте Мартина, ответил "да" в ограниченном общении на китайском языке, когда его спросили, является ли он северокорейским ИТ-работником.
В конечном итоге, говорит Барнхарт, люди должны понять, как действуют северокорейские хакеры и ИТ-работники, с текучестью между группами и подходами, прежде чем можно будет существенно пресечь их усилия. "Нам нужно переориентироваться, нам нужно перестроиться", - говорит Барнхарт. "Северная Корея уже перешла к следующему пункту, и теперь они привлекают субподрядчиков и создают еще один слой запутывания и там"
.