Вторая северокорейская экономика

Проблема выглядит масштабной и крайне чувствительной для компаний, которые предпочитают не говорить о ней публично. Репутационные риски, правовые неопределенности и банальное чувство неловкости заставляют корпорации замалчивать факт проникновения северокорейских «удаленщиков» в их ряды, что только усложняет борьбу с явлением. Между тем десятки резюме, профилей в LinkedIn и поддельных документов показывают: речь идет о хорошо отлаженной схеме, работающей на государство и обходящей американские санкции.

Для Пхеньяна это ценнейший источник дохода, который подпитывается ростом высокооплачиваемых удаленных вакансий в США. За последние два года компании и их партнеры по кибербезопасности осознали масштабы угрозы и теперь предупреждают: все идет к еще большему обострению. «Они уже крадут интеллектуальную собственность и сами же работают над проектами. Искусственный интеллект позволит им многократно усилить то, что они и так делают, а то, что они делают сейчас — уже плохо», — отметил Майкл «Барни» Барнхарт из DTEX Systems.

Схема выглядит настолько изощренной, что даже крупнейшие мировые компании не справляются с фильтрацией кандидатов. По сути, это структура, сопоставимая с транснациональной корпорацией: в ней задействованы северокорейские госорганы, десятки подставных компаний в Китае и даже американцы, готовые содействовать мошенничеству. При этом многие северокорейские IT-специалисты действительно высококвалифицированные — пока не начинают воровать данные или шантажировать работодателей, которые пытаются их уволить.

Как подчеркнула вице-президент Google Threat Intelligence Сандра Джойс, один из работодателей, узнав, что его сотрудник, вероятно, северокорейский «фальшивый» кандидат, отреагировал так: «Вы уж точно должны быть правы, потому что это мой лучший сотрудник».

Северная Корея годами вкладывалась в формирование своей армии «удаленных айтишников», готовя их не только к трудоустройству под чужими именами, но и к промышленному шпионажу и краже интеллектуальной собственности.

Будущих работников отбирают и обучают в ведущих вузах страны, таких как Технологический университет имени Ким Чхэка и Университет наук в Пхеньяне. Часть студентов получает специализацию в области разработки ПО, искусственного интеллекта или криптографии.

По данным DTEX, наиболее сложные мошеннические схемы координируются подразделениями вроде APT 45 — известной госгруппы хакеров, которая занимается взломами корпоративных систем, отмыванием денег и организацией афер. В операции также задействованы Lazarus Group, специализирующаяся на кражах криптовалют и внедрении в криптокомпании, и Центр исследований 227 — новое подразделение в структуре северокорейской разведки, отвечающее за разработки в сфере ИИ.

При этом ландшафт киберугроз расширяется: компании по кибербезопасности регулярно выявляют новые группы, участвующие в атаках, и дают им названия — Jasper Sleet, Moonstone Sleet, Famous Chollima. Это подтверждает, что речь идет о системном и многоуровневом проекте Пхеньяна, а не о разрозненных инициативах отдельных акторов.

По данным девяти специалистов по кибербезопасности сегодня трудно найти крупную компанию из списка Fortune 500, где хотя бы однажды не оказался нанятым северокорейский айтишник под прикрытием.

Google признал, что фиксировал попытки таких кандидатов устроиться на работу, и другие крупные игроки, включая SentinelOne, сообщали о том же. Компания KnowBe4, специализирующаяся на кибербезопасности, открыто подтвердила, что в прошлом году случайно наняла одного из них. Стартап из криптосферы рассказал The Wall Street Journal, что почти два года платил зарплату людям, которые на деле работали на Пхеньян.

Масштаб явления впечатляет: по словам Сэма Рубина из подразделения Unit 42 компании Palo Alto Networks, однажды в течение 12 часов после публикации вакансии более 90% откликнувшихся кандидатов оказались под подозрением в связях с Северной Кореей. «Если вы нанимаете контрактных айтишников, скорее всего, это уже происходило и с вами», — отметил он.

По словам Адама Майерса из CrowdStrike, с проблемой сталкиваются даже средние и небольшие компании, если они полагаются на удаленных разработчиков или обращаются в консалтинговые IT-фирмы. CrowdStrike в своем ежегодном отчете о киберугрозах сообщила, что расследовала свыше 320 случаев, когда северокорейским специалистам удавалось устроиться на работу в качестве удаленных разработчиков ПО.

Трудоустройство в американскую компанию и последующее скрытое участие в работе — это тщательно выстроенная схема, в которую вовлечены северокорейские IT-специалисты, подставные фирмы в Китае и даже отдельные граждане США.

Некоторые программисты из КНДР базируются в Китае или соседних странах, чтобы не вызывать подозрений. Первым шагом становится подбор чужих идентичностей — как правило, это украденные данные реальных людей, в том числе умерших граждан США. Чтобы сделать обман убедительным, создаются поддельные документы — от паспортов и карт социального страхования до счетов за коммунальные услуги. По словам эксперта Мейерса, на многих поддельных удостоверениях можно заметить один и тот же характерный клетчатый фон. В декабре, например, обвинение против 14 северокорейцев показало: они массово использовали украденные личности для подачи десятков заявок на работу.

Следующий этап — поиск вакансий в сфере разработки ПО, техподдержки и DevOps. Основные площадки — Upwork, Fiverr, LinkedIn и сайты кадровых агентств. Для управления этим процессом широко используются инструменты искусственного интеллекта, которые помогают вести учет и отправку заявок. Как отмечает Тревор Хиллигосс, старший вице-президент SpyCloud Labs, именно ИИ все чаще применяется для создания резюме и профилей в LinkedIn. «Есть иерархия. Одни отвечают за собеседования, у них отличный английский. Когда они получают работу, ее передают разработчику», — пояснил он. Такой разработчик зачастую совмещает сразу несколько позиций и поддерживает несколько вымышленных персон.

Ключевой момент — собеседование, где, казалось бы, проще всего выявить мошенника. Но «кандидаты», будь то реальные люди или аватары, созданные с помощью ИИ, оказываются опытными собеседниками и способны выполнять тестовые задания. По словам Барнхарта, некоторые компании замечали несоответствие лишь через недели, когда поведение «сотрудника» отличалось от того, что было на интервью.

Получив работу, разработчик требует отправить корпоративный ноутбук на американский адрес — чаще всего ссылаясь на внезапный переезд или семейные обстоятельства. Эти адреса принадлежат американским сообщникам, которые организуют так называемые «фермы ноутбуков». Они устанавливают на компьютеры специальное ПО для удаленного доступа, что позволяет северокорейским сотрудникам работать из-за рубежа. В июле ФБР провело обыски на 21 объекте в 14 штатах и изъяло 137 ноутбуков, связанных с такими схемами.

Еще одна задача — перевод зарплат в распоряжение режима. Для этого сообщники переправляют средства через фирмы-прокладки в Китае или используют криптовалютные биржи. Исследование Strider Technologies, опубликованное в мае, выявило 35 китайских компаний, вовлеченных в поддержку подобных операций.

По словам Сары Керн, ведущего аналитика по КНДР в Counter Threat Unit компании Sophos, процесс найма в американских компаниях устроен настолько разобщенно, что менеджеры часто не замечают признаков обмана до того момента, пока северокорейские сотрудники уже не приступят к работе.

Даже когда возникают подозрения, улики оказываются разрозненными и не всегда очевидными. Команды безопасности могут зафиксировать необычные инструменты удаленного доступа или странное поведение браузеров, тогда как HR-службы замечают повторяющиеся рекомендации или резюме с одинаковыми номерами телефонов. Но если эти сигналы не объединить, тревога, как правило, не поднимается. «Нет одного огромного красного флага, на который можно указать, — объясняет Керн. — Это комбинация технических следов и человеческих деталей, которые сложно уловить, и они не всегда отражаются в телеметрии систем обнаружения».

Даже в случае разоблачения ситуация остается сложной. По словам Александры Роуз, директора того же подразделения Sophos, многие из этих специалистов настолько квалифицированы, что руководители порой просто отказываются поверить, что они могут находиться в Северной Корее.

Если же мошенников удается уличить, компании сталкиваются с целым спектром проблем. Некоторые работники скачивают конфиденциальные данные и прибегают к шантажу, требуя крупные суммы. Другие подают юридические жалобы, включая иски о компенсации, а иногда пытаются воспользоваться законодательными механизмами защиты. Барнхарт вспоминает случай, когда сотрудник при увольнении попытался заявить о защите от домашнего насилия, чтобы выиграть время.

«Много внимания уделяется тому, что кибербезопасность не должна быть задачей только для CISO, — подчеркнула Роуз. — Нужно, чтобы базовое понимание безопасности присутствовало во всей компании, и именно такие случаи показывают, почему это необходимо».

В итоге многие работодатели предпочитают не сообщать о подобных инцидентах, опасаясь, что их могут обвинить в нарушении санкционного режима. Но правоохранительные органы неоднократно давали понять: их интересует сотрудничество, а не наказание.

В настоящее время ключевая цель этих операций — приносить доход северокорейскому режиму. Однако угроза постепенно усложняется. Группы, участвующие в подобных схемах, развиваются в более опасные структуры: есть риск, что они начнут разрабатывать собственные модели искусственного интеллекта, используя для их обучения конфиденциальные данные американских компаний.

Особое беспокойство вызывает оборонная сфера. По словам Барнхарта, его команда фиксировала случаи, когда северокорейские IT-специалисты активно изучали информацию о технологиях ИИ, производстве дронов и проектах, связанных с оборонными подрядами.

Пока американские компании становятся внимательнее к такого рода схемам, северокорейские специалисты переносят акцент на зарубежные рынки, создавая «фермы ноутбуков» и трудоустраиваясь в компаниях по всей Европе. Это указывает скорее на расширение масштабов операций, чем на их сворачивание. «Мы начинаем видеть это и в Европе — они уже в Польше, в Румынии, в Великобритании», — отметил Мейерс из CrowdStrike. «Они расширяются повсюду».