Как IT-специалисты из Северной Кореи обманом устраивались в американские компании
В США вскрыли крупнейшую мошенническую схему по трудоустройству IT-специалистов.
Как выяснилось в ходе расследования, в течение многих лет удаленные сотрудники, используя личности граждан США, зарабатывали в крупнейших американских компаниях миллионы для Северной Кореи.
В числе обманутых — несколько компаний из списка Fortune 500. Всего в деле фигурирует список из более чем 300 компаний
Думаете, что благодаря IT-отделу работодателя ваши личные данные в безопасности? Подумайте еще раз.
Министерство юстиции США рассекретило ряд судебных документов, в которых идет речь о хищении персональных данных и других преступлениях, связанных с КНДР. Прокуроры, утверждающие, что северокорейские IT-работники проникают в американские компании и похищают у них деньги, называют это крупнейшим случаем применения подобного рода мошеннической схемы.
Схема
Согласно документам суда, Северная Корея отправляла тысячи квалифицированных сотрудников IT-сферы по всему миру, чтобы те проникали в сети американских компаний и собирали деньги на северокорейскую программу вооружения в нарушение санкций со стороны США и ООН. Схемы подразумевали кражу средств более чем у 300 предприятий в Соединенных Штатах, включая многие всемирно известные корпорации, использование американских платежных платформ и учетных записей на сайтах для поиска работы, прокси-серверы на территории США, а также привлечение американских граждан и организаций (некоторые из них даже не понимали, что помогают мошенникам).
Кристина Мари Чэпман
Одна из обвиняемых — гражданка США Кристина Мари Чэпман, которую арестовали в аризонском Литчфилд-Парке. Настоящие имена ее сообщников неизвестны, но в обвинительном заключении они условно указаны как Джоны Доу (обозначение неизвестных мужского пола) 1–3 под вымышленными именами Цзихоу Хань, Хаожань Сю и Чуньцзи Цзинь.
Зарубежные IT-специалисты также трижды пытались получить работу и доступ к информации в двух правительственных агентствах США, однако попытки не увенчались успехом.
ФБР также выписало ордеры на обыск расположенных в США «ферм ноутбуков». Так называют дома, в которых находятся портативные компьютеры для зарубежных IT-сотрудников, создающие видимость, будто они работают на территории Штатов.
Прокуроры говорят, что изначально предложение поучаствовать в схеме Чэпман получила через LinkedIn ― там ее попросили стать американским лицом компании. По всей видимости, к настоящему моменту ее страница в социальной сети удалена.
Теперь Чэпман вменяют участие в преступном сговоре с целью хищения средств у Соединенных Штатов, в сговоре с целью осуществления мошенничества с помощью электронных средств связи, в сговоре с целью осуществления хищения банковских средств, кражу персональных данных при отягчающих обстоятельствах, участие в преступном сговоре с целью хищения персональных данных, участие в сговоре с целью отмывания денежных инструментов, деятельность в качестве нелицензированного бизнеса по переводу денег и незаконное трудоустройство иностранных граждан. Ее соучастникам вменяют участие в преступном сговоре с целью отмывания денег.
Пока что Чэмпан лишь предъявили обвинения, но женщина на них еще не ответила. Если ее признают виновной, ей грозит максимальный срок — 97,5 лет тюремного заключения, в том числе обязательный минимум в два года за кражу персональных данных при отягчающих обстоятельствах.
Старший помощник заместителя генерального прокурора Николь М. Арджентьери, глава криминального отдела Министерства юстиции, заявляет: «Обвинения по данному делу должны стать тревожным звонком для американских компаний и правительственных агентств, где работают дистанционные IT-сотрудники. Эти преступления выгодны правительству Северной Кореи, являются для него источником заработка и в некоторых случаях похищаемой сообщниками служебной информации».
Александр Диденко
В округе Колумбия также был рассекречен иск с обвинениями в адрес уроженца Киева Александра Диденко в том, что он реализовывал отдельную схему по созданию подставных учетных записей на американских платформах по поиску работы в сфере IT с применением американских сервисов для перевода денежных средств.
Предположительно, у мужчины был целый ряд вариантов получения оплаты за свои услуги, включая USDT (стейблкоин Tether), BUSD (стейблкоин Binance), USDC (долларовый стейблкоин) и аккаунты в американских сервисах денежных переводов.
Прокуроры уверены: все это было лишь частью «полного спектра услуг», куда также входили постановочные собеседования, чтобы клиенты могли выдавать себя за других людей и заключать договоры на дистанционное трудоустройство с ничего не подозревающими фирмами.
Домен upworksell.com с тех пор арестован по судебному постановлению Министерства юстиции, а весь трафик сайта перенаправляется в ФБР. Сейчас на странице об этом выставлено соответствующее сообщение
Скриншот арестованного ФБР сайта
Согласно письменному заявлению, в арсенале Диденко были «посреднические» персональные данные приблизительно 871 человека, прокси-аккаунты на трех американских платформах по набору IT-персонала и трех различных американских площадках для осуществления денежных переводов. Вместе со своими сообщниками обвиняемый наладил работу по меньшей мере трех «ферм ноутбуков» в Соединенных Штатах, причем одно время общее количество компьютеров на них достигало 79.
По словам стороны обвинения, в своих сообщениях Диденко допускал, что оказывает содействие IT-сотрудникам из Северной Кореи. Вдобавок к этому в ноябре 2023 года одна фирма из США, специализирующаяся на кибербезопасности, нашла на одной онлайн-платформе для хранения данных документы, где описаны попытки северокорейских IT-специалистов трудоустроиться в дистанционном режиме. Согласно документам суда, фирма «с высокой степенью уверенности» сделала вывод о том, что к данным файлам может быть причастна группа шпионов со связями в Северной Корее. В частности, компания заявила: «Несколько из найденных нами документов содержали информацию, которая более четко указывает на Северную Корею. Многие пароли, связанные с данными документами, сделаны путем набора корейского текста на американской раскладке клавиатуры, а некоторые включают слова, используемые только в Северной Корее. Более того, на компьютерах стоящих за этими кампаниями злоумышленников активированы настройки корейской клавиатуры».
Среди документов имеются руководства и советы по успешному трудоустройству, написанию сопроводительных писем, оформлению резюме, образцы резюме подставных IT-сотрудников и пошаговые разборы собеседований. Несколько документов относятся к размещению объявлений на онлайн-площадках по поиску работы, которую в итоге заполучили северокорейские IT-специалисты ― это вакансии американских работодателей, судя по деловым записям, впоследствии оказавшиеся связанными с компьютерами в доме Чэпман (прокуроры заявляют, что деятельность Диденко и Чэпман была взаимосвязана).
Один из клиентов Диденко из числа зарубежных IT-сотрудников также просил отправить ноутбук с одной из «ферм» Диденко на «ферму ноутбуков» Чэпман ― это свидетельствует о связях между двумя ячейками в рамках сети зарубежных IT-специалистов из Северной Кореи. Ордеры на обыск четырех домов с «фермами ноутбуков» под контролем Диденко в США были выписаны федеральным судом в южном округе Калифорнии, восточном округе Теннесси и восточном округе Вирджинии.
Намерен ли обвиняемый пользоваться в США услугами адвоката, в судебных документах не уточняется.