Тисячі IT-працівників з Північної Кореї за підробленими документами влаштувались у американські компанії зі списку Fortune 500 і продовжують незаконно влаштовуватись.

Зазначається, що програмісти з КНДР видають себе за спеціалістів зі США, використовуючи підроблені або вкрадені посвідчення особи. Заробляючи таким чином в американських компаніях, вони перераховують гроші на фінансування режиму північнокорейського диктатора Кім Чен Ина.

За інформацією Мінфіну США, Держдепу та ФБР, починаючи з 2018 року, шахрайство із працівниками в IT-сфері щорічно приносить КНДР прибутки на сотні мільйонів доларів. За словами засновника стартапа g8keep Харрісона Леджіо, близько 95% резюме, які він отримує, приходять від програмістів з Північної Кореї.

Наразі Леджіо зізнається, що навіть не буде призначати співбесіду кандидату, який за документами виглядає багатообіцяючим спеціалістом, якщо той не погодиться пройти останню перевірку, яка полягає у тому, що слід сказати щось негативне про Кім Чен Ина. Наприклад, «наскільки товстий лідер КНДР?». Леджіо переконався, що працівникам з Північної Кореї суворо заборонено ображати диктатора КНДР і за це вони можуть понести покарання, навіть у разі негативних висловлювань у приватному порядку.

Засновник g8keep зазначив, що коли він вперше запропонував претенденту на роботу подібний тест, той почав психовати і лаятись. Шукач роботи згодом заблокував Леджіо на всіх платформах соціальних мереж. Тепер Леджіо проводить той самий тест перед кожною співбесідою. Інші стартапи та засновники, яких він знає, роблять те саме.

За оцінками ООН, шахрайство з IT-працівниками з КНДР щорічно приносить прибуток у розмірі від $250 до 600 млн. Це змусило спеціалістів з кібербезпеки об'єднатись з метою обміну інформацією про стратегії, профілі, VPN та ознаки, на які слід звернути увагу.

Однак розвиток ШІ дав змогу шахраям з КНДР створювати по кілька фальшивих особистостей і найматись у 6-7 компаній одночасно. За словами аналітиків, протягом 2025 року масштабих цих шахрайських схем будуть тільки розширюватись, охоплюючи вже не тільки США, а й країни Європи та Азії.

Як зазначає керівник відділу кібербезпеки Google Cloud Майкл Барнхарт, який протягом багатьох років відслідковував кіберзагрози з боку КНДР, програмісти з Північної Кореї, що перебувають на території Росії та Китаю, використовують ШІ для створення біографій з акцентом на привабливий досвід роботи у компанії. Вони працюють у командах, щоб масово подавати заявки на роботу, використовуючи вкрадені американські посвідчення особи або за допомогою посередників у США чи за кордоном.

Деякі ІТ-фахівці навіть створили підставні компанії, щоб видавати себе за законні рекрутингові фірми або веб-дизайнерські агентства, наприклад, які потім співпрацюють з великими компаніями зі списку Fortune 500. Серед глобальних компаній служби безпеки впровадили різні системи та стратегії для викорінення північнокорейських ІТ-фахівців, які шукають роботу, а також тих, хто вже працевлаштований та працює у компаніях.

Зокрема, у більшості американських компаній вже проводять перевірки на відповідність заявленному місцю проживання претендентів на роботу. Ці практики варіюються від відеоінтерв'ю з камерою до використання інструментів перевірки особистості з функціями геолокації для порівняння посвідчення особи державного зразка з селфі, що допоможе зіставити людей з їхньою особистістю та місцем розташування.

Представники компанії з кібербезпеки CrowdStrike зазначають, що група програмістів з КНДР, яку називають Famous Chollima, причетна до 304 випадків в 2024 році і продовжує працевлаштовувати фальшивих працівників в американські компанії і в цьому році. За словами старшого віцепрезидента CrowdStrike, ця група північнокорейських шахраїв спеціалізується на крадіжці розвідувальної інформації та криптовалют, зокрема, викрадення $1,5 млрд з криптобіржі в Дубаї. Іншим видом діяльності Famous Chollima є працевлаштування ІТ-фахівців з КНДР до американських компаній за підробленими документами.

Шахраї з КНДР активно імітують надання послуг IT-спеціалістам зі США з метою викрадення та підробки їхніх посвідчень особи. За останні два роки Міністерство юстиції звинуватило десятки громадян Північної Кореї та неназваних спільників у цій схемі, звинувативши їх у крадіжці американських посвідчень особи, змові з метою порушення санкцій США, шахрайстві з використанням електронних засобів зв'язку та відмиванні грошей. У зв'язку з цим був заарештований чоловік з Нешвілла, а жінка з Арізони визнала себе винною в управлінні «фермами фальшивих акаунтів» у рамках цієї схеми.

У справі на території Арізони 49-річна жінка з Фінікса допомогла північнокорейським спільникам отримати роботу в банках зі списку Fortune 500, телевізійній мережі, компанії з виробництва аерокосмічної техніки, автомобілів і технологічній компанії з Кремнієвої долини. Використовуючи 60 вкрадених посвідчень особи, вона допомогла ІТ-фахівцям отримати роботу у 300 компаніях, які платили їм мільйони за їхню роботу.