Door James Pearson
LONDEN (Reuters) – Met behulp van valse namen, schijn-LinkedIn-profielen, valse werkpapieren en nep-interviewscripts gebruiken Noord-Koreaanse IT-werknemers die werk zoeken bij westerse technologiebedrijven geavanceerde uitvluchten om aangenomen te worden.
Het binnenhalen van een baan buiten Noord-Korea om in het geheim harde valuta te verdienen voor het geïsoleerde land vereist hoogontwikkelde strategieën om westerse personeelsmanagers te overtuigen, zo blijkt uit documenten die zijn beoordeeld door Reuters, een interview met een voormalige Noord-Koreaanse IT-medewerker en cybersecurity-onderzoekers.
Volgens de Verenigde Staten, Zuid-Korea en de Verenigde Naties heeft Noord-Korea duizenden IT-medewerkers naar het buitenland gestuurd, een inspanning die de afgelopen vier jaar is toegenomen, om miljoenen binnen te halen voor de financiering van het nucleaire raketprogramma van Pyongyang.
“Mensen zijn vrij om ideeën en meningen te uiten”, luidt een interviewscript dat door Noord-Koreaanse softwareontwikkelaars wordt gebruikt en dat desgevraagd suggesties biedt voor het beschrijven van een “goede bedrijfscultuur”. Het vrijuit uiten van je gedachten kan in Noord-Korea met gevangenisstraf worden bestraft.
De scripts, die in totaal dertig pagina’s beslaan, zijn opgegraven door onderzoekers van Palo Alto Networks, een Amerikaans cyberbeveiligingsbedrijf dat online een cache met interne documenten heeft ontdekt die de werking van Noord-Korea’s externe IT-personeel gedetailleerd beschrijven.
De documenten bevatten tientallen frauduleuze cv’s, onlineprofielen, interviewaantekeningen en vervalste identiteiten die Noord-Koreaanse werknemers gebruikten om te solliciteren naar banen in de softwareontwikkeling.
Reuters vond verder bewijs in gelekte darkweb-gegevens die enkele van de tools en technieken onthulden die door Noord-Koreaanse werknemers werden gebruikt om bedrijven ervan te overtuigen hen in banen te nemen zo ver weg als Chili, Nieuw-Zeeland, de Verenigde Staten, Oezbekistan en de Verenigde Arabische Emiraten.
De documenten en gegevens onthullen de intense inspanningen en uitvluchten die de Noord-Koreaanse autoriteiten hebben ondernomen om het succes te verzekeren van een plan dat een essentiële levensader van buitenlandse valuta is geworden voor het regime met geldgebrek.
Het verhaal gaat verder
De VN-missie van Noord-Korea heeft niet gereageerd op een verzoek om commentaar.
IT-werknemers op afstand kunnen meer dan tien keer verdienen wat een conventionele Noord-Koreaanse arbeider die in het buitenland in de bouw of andere handmatige banen werkt, verdient, zei het Amerikaanse ministerie van Justitie (DOJ) in 2022, en teams van hen kunnen gezamenlijk meer dan $ 3 miljoen per jaar verdienen.
Reuters kon niet vaststellen hoeveel de regeling in de loop der jaren heeft opgeleverd.
Sommige scripts, ontworpen om de werknemers voor te bereiden op interviewvragen, bevatten excuses voor de noodzaak om op afstand te werken.
“Richard”, een senior embedded software-ontwikkelaar, zei: “Ik ben een aantal weken geleden naar Singapore gevlogen. Mijn ouders hebben Covid gekregen en ik (besloten) een tijdje bij familieleden te zijn. Nu ben ik van plan terug te gaan naar Los Angeles. Angeles over drie maanden. Ik denk dat ik nu op afstand kan gaan werken, en dan zal ik aan boord zijn als ik terugga naar LA. “
Een Noord-Koreaanse IT-medewerker die onlangs is overgelopen, heeft de documenten ook onderzocht en de authenticiteit ervan tegenover Reuters bevestigd: “We zouden 20 tot 50 nepprofielen per jaar aanmaken totdat we werden aangenomen”, zei hij.
Hij bekeek de scripts, gegevens en documenten en zei dat het precies hetzelfde was wat hij had gedaan, omdat hij de gebruikte tactieken en technieken herkende.
“Toen ik eenmaal aangenomen was, zou ik nog een nepprofiel aanmaken om een tweede baan te krijgen”, zei de werknemer, die op voorwaarde van anonimiteit sprak, daarbij verwijzend naar veiligheidsproblemen.
In oktober namen het DOJ en het Federal Bureau of Investigation (FBI) zeventien websitedomeinen in beslag die naar eigen zeggen door Noord-Koreaanse IT-medewerkers werden gebruikt om bedrijven te bedriegen en 1,5 miljoen dollar aan fondsen in beslag te nemen.
Noord-Koreaanse ontwikkelaars die bij Amerikaanse bedrijven werkten, hadden zich verborgen achter pseudonieme e-mail- en sociale-media-accounts en verdienden via dit plan miljoenen dollars per jaar namens gesanctioneerde Noord-Koreaanse entiteiten, aldus de DOJ.
“Er is een risico voor de Noord-Koreaanse regering, omdat deze bevoorrechte arbeiders worden blootgesteld aan de gevaarlijke realiteit over de wereld en de gedwongen achterlijkheid van hun land”, zegt Sokeel Park of Liberty in Noord-Korea (LINK), een organisatie die met overlopers werkt.
CONTANT GELD
Vorig jaar zei de Amerikaanse regering dat Noord-Koreaanse IT-werknemers voornamelijk in China en Rusland waren gevestigd, en sommigen in Afrika en Zuidoost-Azië, en dat ze elk tot wel $300.000 per jaar konden verdienen.
Volgens zijn ervaring wordt van de voormalige IT-medewerker verwacht dat iedereen minstens 100.000 dollar zal verdienen, waarvan 30-40% wordt gerepatrieerd naar Pyongyang, 30-60% wordt besteed aan overheadkosten en 10-30% wordt opgebracht door de werknemers.
Hij schatte dat er ongeveer 3.000 anderen zoals hij in het buitenland waren, en nog eens 1.000 in Noord-Korea.
‘Ik werkte om vreemde valuta te verdienen’, zei hij tegen Reuters. “Het verschilt per persoon, maar als je eenmaal een baan op afstand hebt, kun je in principe slechts zes maanden werken, of wel drie tot vier jaar.”
“Als je geen baan kunt vinden, ga je freelancen.”
De onderzoekers, onderdeel van Palo Alto’s cyberonderzoeksdivisie Unit 42, deden de ontdekking toen ze een campagne van Noord-Koreaanse hackers onderzochten die zich op softwareontwikkelaars richtten.
Een van de hackers liet de documenten op een server achter, aldus Unit 42, waarmee hij aangeeft dat er banden zijn tussen de Noord-Koreaanse hackers en zijn IT-medewerkers, hoewel de overloper zei dat spionagecampagnes voor een select groepje waren bestemd: ‘Hackers worden afzonderlijk getraind. niet gegeven aan mensen zoals wij”, zei hij.
Toch is er sprake van een kruisbestuiving. Het DOJ en de FBI hebben gewaarschuwd dat Noord-Koreaanse IT-werknemers toegang kunnen gebruiken om hun werkgevers te hacken, en sommige van de gelekte cv’s duiden op ervaring bij cryptocurrency-bedrijven, een sector die al lang het doelwit is van Noord-Koreaanse hackers.
VALSE IDENTITEITEN
Uit gegevens van Constella Intelligence, een identiteitsonderzoeksbureau, bleek dat een van de werknemers accounts had op meer dan twintig freelancewebsites in de Verenigde Staten, Groot-Brittannië, Japan, Oezbekistan, Spanje, Australië en Nieuw-Zeeland.
De werknemer heeft niet gereageerd op een per e-mail verzonden verzoek om commentaar.
De gegevens, verzameld uit lekken op het darkweb, onthulden ook een account op een website die digitale sjablonen verkoopt om realistisch ogende valse identificatiedocumenten te maken, waaronder Amerikaanse rijbewijzen, visa en paspoorten, ontdekte Reuters.
De documenten die door Unit 42 werden opgegraven, omvatten cv’s van veertien identiteiten, een vervalste Amerikaanse groene kaart, interviewscripts en bewijs dat sommige werknemers toegang hadden gekocht tot legitieme onlineprofielen om authentieker over te komen.
De ‘Richard’ in Singapore die IT-werk op afstand zocht, leek te verwijzen naar een vervalst profiel met de naam ‘Richard Lee’ – dezelfde naam op de groene kaart. Het Amerikaanse ministerie van Binnenlandse Veiligheid heeft niet gereageerd op een verzoek om commentaar.
Reuters vond een LinkedIn-account voor Richard Lee met dezelfde profielfoto, die ervaring vermeldde bij Jumio, een bedrijf voor digitale identiteitsverificatie.
“We hebben geen gegevens waaruit blijkt dat Richard Lee een huidige of voormalige werknemer van Jumio is geweest”, aldus een woordvoerder van Jumio. “Jumio heeft geen enkel bewijs dat het bedrijf ooit een Noord-Koreaanse werknemer in zijn personeelsbestand heeft gehad.”
Reuters stuurde een bericht naar het LinkedIn-account met de vraag om commentaar, maar kreeg geen reactie. LinkedIn verwijderde het account na verzoeken van Reuters om commentaar te hebben ontvangen.
“Ons team gebruikt informatie uit verschillende bronnen om nepaccounts op te sporen en te verwijderen, zoals we in dit geval hebben gedaan”, aldus een woordvoerder.
(Rapportage door James Pearson; aanvullende rapportage door Ted Hesson en Daphne Psaledakis in Washington; redactie door Chris Sanders en Anna Driver)