Управление по контролю за иностранными активами (OFAC) Министерства финансов США ввело санкции против сети из шести физических лиц и двух организаций за их центральную роль в сложной схеме мошенничества, осуществляемой IT-работниками Корейской Народно-Демократической Республики (КНДР). Операция, разработанная для систематического мошенничества с американскими и международными компаниями, генерирует незаконные доходы, предназначенные для финансирования программ КНДР по созданию оружия массового поражения (ОМП) и баллистических ракет, что прямо противоречит многочисленным резолюциям Совета Безопасности ООН. Министр финансов США Скотт Бессент подчеркнул двойную угрозу этой схемы, заявив: «Режим Северной Кореи нацеливается на американские компании с помощью обманных схем, осуществляемых его зарубежными IT-оперативниками, которые превращают конфиденциальные данные в оружие и вымогают у предприятий крупные платежи». Это действие подтверждает приверженность правительства США срыву финансовых потоков, позволяющих Пхеньяну развивать запрещенное оружие.
Мошенническая операция, отслеживаемая исследователями кибербезопасности под такими названиями, как Coral Sleet, Jasper Sleet, PurpleDelta и Wagemole, использует многоуровневую стратегию обмана. IT-работники, действующие от имени северокорейского режима, используют поддельные документы, украденные личности и полностью сфабрикованные онлайн-персоны, чтобы скрыть свое истинное гражданство и местонахождение. Выдавая себя за фрилансеров или разработчиков программного обеспечения по контракту, базирующихся в других странах, они получают удаленные должности в легитимных компаниях, в основном в Соединенных Штатах. Значительная часть заработной платы, полученной от этой работы, затем тайно переводится на контролируемые государством счета в Северной Корее, обеспечивая критический поток иностранной валюты для ее санкционных оружейных программ. Эта схема представляет собой вопиющую эксплуатацию глобальной экосистемы удаленной работы.
Помимо финансового мошенничества, эти IT-работники, спонсируемые государством, часто участвуют в более агрессивных кибероперациях, чтобы максимизировать ценность для режима. После внедрения в организацию-жертву их деятельность может перерасти в развертывание вредоносного ПО для хищения проприетарной интеллектуальной собственности, конфиденциальных бизнес-данных и личной информации. По классической модели двойного вымогательства оперативники затем используют эти украденные данные для требования выкупных платежей от компаний-жертв, угрожая публичной утечкой информации, если их требования не будут выполнены. Это превращает простое мошенничество с заработной платой в совокупную угрозу хищения интеллектуальной собственности, промышленного шпионажа и разрушительных ransomware-атак, нанося значительный финансовый и репутационный ущерб.
Техническое исполнение этой схемы в значительной степени зависит от сложных инструментов обфускации. Как отметила компания по кибербезопасности LevelBlue, оперативники часто работают из третьих стран, в частности из Китая, а не напрямую из Северной Кореи. Они используют коммерческие услуги виртуальных частных сетей (VPN), такие как Astrill VPN, которые способны обходить национальные файрволы, такие как «Великий китайский файрвол». Направляя свой интернет-трафик через выходные узлы, расположенные в США, они могут демонстрировать цифровой след, соответствующий внутреннему американскому сотруднику, эффективно избегая стандартных корпоративных проверок геолокации. Исследователь безопасности Tue Luu отметил: «Эти субъекты угроз обычно действуют из Китая, а не из Северной Кореи, по двум причинам: более надежная интернет-инфраструктура и возможность использовать услуги VPN для сокрытия своего истинного географического происхождения». Эта географическая «отмывка» является ключевым фактором, способствующим мошенничеству, что делает надежные процессы проверки, ориентированные на идентичность, необходимыми для компаний, нанимающих удаленных IT-специалистов.
