Cetățenii nord-coreeni din domeniul IT care caută un loc de muncă în companiile de tehnologie occidentale folosesc subterfugii sofisticate pentru a se angaja. Care sunt metodele folosite?
Nume false, profiluri false pe LinkedIn, documente de lucru contrafăcute și scenarii de interviu simulate, cetățenii nord-coreeni din domeniul IT se descurcă cum pot.
Obținerea unui loc de muncă în afara Coreei de Nord pentru a câștiga în secret bani într-o țară izolată necesită strategii extrem de dezvoltate. Toate metodele sunt pentru a-i convinge pe managerii occidentali care fac angajări, potrivit unor documente analizate de Reuters.
Câștiguri substanțiale
Coreea de Nord a trimis mii de lucrători IT în străinătate, un efort care s-a accelerat în ultimii patru ani, pentru a aduce milioane de dolari pentru a finanța programul de rachete nucleare al Pyongyangului, potrivit Statelor Unite, Coreei de Sud și Națiunilor Unite.
„Oamenii sunt liberi să își exprime ideile și opiniile”, se arată într-un scenariu de interviu folosit de dezvoltatorii de software nord-coreeni. Care oferă sugestii despre cum să descrie o „bună cultură corporativă” atunci când sunt întrebați.
În Coreea de Nord, exprimarea liberă a gândurilor poate fi pedepsită cu închisoarea.
Scenariile, care totalizează 30 de pagini, au fost scoase la iveală de cercetătorii de la Palo Alto Networks (PANW.O), o firmă americană de securitate cibernetică, care a descoperit online un fond de documente interne care detaliază funcționarea forței de muncă IT la distanță din Coreea de Nord.
CV-uri frauduloase
Documentele conțin zeci de CV-uri frauduloase, profiluri online, note de la interviuri și identități false pe care muncitorii nord-coreeni le-au folosit pentru a aplica la locurile de muncă în domeniul dezvoltării de software.
Reuters a găsit dovezi suplimentare în date divulgate de pe darkweb care au dezvăluit unele dintre instrumentele și tehnicile folosite de lucrătorii nord-coreeni pentru a convinge firmele să îi angajeze în locuri de muncă atât de îndepărtate precum Chile, Noua Zeelandă, Statele Unite, Uzbekistan și Emiratele Arabe Unite.
Documentele și datele dezvăluie eforturile intense și subterfugiile întreprinse de autoritățile nord-coreene pentru a asigura succesul unui sistem care a devenit o sursă vitală de valută străină pentru regimul aflat în criză de bani.
Misiunea Coreei de Nord la ONU nu a răspuns la o solicitare de comentarii.
Lucrătorii IT la distanță pot câștiga de peste zece ori mai mult decât câștigă un muncitor nord-coreean convențional care lucrează în străinătate în construcții sau în alte locuri de muncă manuală, a declarat Departamentul de Justiție al SUA (DOJ) în 2022, iar echipele acestora pot câștiga împreună peste 3 milioane de dolari pe an.
Nord-coreenii în Occident
Reuters nu a putut stabili cât de mult a generat schema de-a lungul anilor.
Unele dintre scenarii, concepute pentru a-i pregăti pe lucrători pentru întrebările de la interviuri, conțin scuze pentru necesitatea de a lucra de la distanță.
„Richard”, un dezvoltator senior de software încorporat, a declarat: „Am (zburat) în Singapore acum câteva săptămâni. Părinții mei s-au ales cu Covid și am (decis) să fiu cu membrii familiei pentru o perioadă de timp. Acum, plănuiesc să mă întorc la Los Angeles peste trei luni. Mă gândesc că aș putea începe să lucrez de la distanță chiar acum, apoi voi fi la bord când mă voi întoarce în Los Angeles.”
Un lucrător IT nord-coreean care a dezertat recent a examinat, de asemenea, documentele și a confirmat autenticitatea lor pentru Reuters: „Cream între 20 și 50 de profiluri false pe an până când eram angajați”, a spus el.
El a vizualizat scripturile, datele și documentele și a spus că era exact același lucru pe care îl făcea și el, deoarece a recunoscut tacticile și tehnicile folosite.
„După ce eram angajat, îmi mai cream un alt profil fals pentru a obține un al doilea loc de muncă”, a declarat lucrătorul, care a vorbit sub protecția anonimatului, invocând motive de securitate.
Intervenția FBI
În octombrie, Departamentul de Justiție și Biroul Federal de Investigații (FBI) au confiscat 17 domenii de site-uri web despre care a spus că au fost folosite de lucrători IT nord-coreeni pentru a frauda întreprinderi și fonduri în valoare de 1,5 milioane de dolari.
Dezvoltatorii nord-coreeni care lucrau la companii americane se ascunseseră în spatele unor conturi de e-mail și de socializare pseudonime și au generat milioane de dolari pe an în numele unor entități nord-coreene sancționate prin această schemă, a declarat DOJ.
„Există un risc pentru guvernul nord-coreean, deoarece acești lucrători privilegiați sunt expuși la realități periculoase despre lume și despre înapoierea forțată a țării lor”, a declarat Sokeel Park de la Liberty in North Korea (LINK), o organizație care lucrează cu transfugii.
Bani grei
Anul trecut, guvernul american a declarat că lucrătorii IT nord-coreeni se aflau în principal în China și Rusia, iar unii în Africa și Asia de Sud-Est, și că fiecare poate câștiga până la 300.000 de dolari pe an.
Conform experienței sale, fostul lucrător IT a declarat că toți sunt așteptați să câștige cel puțin 100.000 de dolari, din care 30-40% sunt repatriați la Pyongyang, 30-60% sunt cheltuiți pe cheltuieli generale, iar 10-30% sunt băgați în buzunar de către lucrători.
El a estimat că mai sunt aproximativ 3.000 de persoane ca el în străinătate și alte 1.000 în Coreea de Nord.
„Am lucrat pentru a câștiga valută”, a declarat el pentru Reuters. „Diferă de la o persoană la alta, dar, în principiu, odată ce obții un loc de muncă la distanță, poți să lucrezi pentru o perioadă de doar șase luni sau pentru o perioadă de trei-patru ani.”
Freelancer în Nord Coreea
„Când nu găsești un loc de muncă, lucrezi ca freelancer”.
Cercetătorii, care fac parte din divizia de cercetare cibernetică Unit 42 de la Palo Alto, au făcut această descoperire atunci când au analizat o campanie a hackerilor nord-coreeni care viza dezvoltatorii de software.
Unul dintre hackeri a lăsat documentele expuse pe un server, a declarat Unitatea 42, ceea ce indică faptul că există legături între hackerii nord-coreeni și angajații IT ai Coreei de Nord, deși dezertorul a declarat că campaniile de spionaj erau pentru câțiva aleși: „Hackerii sunt antrenați separat. Aceste misiuni nu sunt date unor oameni ca noi”, a spus el.
Cu toate acestea, există totuși încrucișări. Departamentul de Justiție și FBI au avertizat că lucrătorii IT nord-coreeni ar putea folosi accesul pentru a-și sparge angajatorii, iar unele dintre CV-urile care au făcut obiectul unor scurgeri de informații indicau experiență la firmele de criptomonede, o industrie care a fost mult timp vizată de hackerii nord-coreeni.
Identități false
Datele de la Constella Intelligence, o firmă de investigare a identității, au arătat că unul dintre lucrători avea conturi pe peste 20 de site-uri de freelancing din Statele Unite, Marea Britanie, Japonia, Uzbekistan, Spania, Australia și Noua Zeelandă.
Lucrătorul nu a răspuns la o solicitare de comentarii trimisă prin e-mail.
Datele, adunate în urma unor scurgeri de informații de pe darkweb, au dezvăluit, de asemenea, un cont pe un site care vinde șabloane digitale pentru a crea documente de identificare false cu aspect realist, inclusiv permise de conducere, vize și pașapoarte americane, a constatat Reuters.
Printre documentele descoperite de Unitatea 42 se numără CV-uri pentru 14 identități, o carte verde americană falsificată, scenarii de interviu și dovezi că unii lucrători au cumpărat acces la profiluri online legitime pentru a părea mai autentice.
Richard din Singapore
„Richard” din Singapore, care căuta să lucreze la distanță în domeniul IT, părea să se refere la un profil falsificat pe numele „Richard Lee” – același nume de pe cartea verde. Departamentul pentru Securitate Internă al SUA nu a răspuns la o solicitare de comentarii.
Reuters a găsit un cont de LinkedIn pentru un Richard Lee cu aceeași fotografie de profil, care a indicat experiența la Jumio, o companie de verificare a identității digitale.
„Nu avem nicio înregistrare a faptului că Richard Lee ar fi fost un angajat actual sau fost angajat al Jumio”, a declarat un purtător de cuvânt al Jumio. „Jumio nu are nicio dovadă care să sugereze că firma a avut vreodată un angajat nord-coreean în cadrul forței sale de muncă”.
Reuters a trimis un mesaj pe contul LinkedIn pentru a cere un comentariu, dar nu a primit niciun răspuns. LinkedIn a eliminat contul după ce a primit solicitări de comentarii din partea Reuters.
„Echipa noastră folosește informații dintr-o varietate de surse pentru a detecta și elimina conturile false, așa cum am făcut în acest caz”, a declarat un purtător de cuvânt.
