В последние годы всё чаще появляются новости о том, как западные компании невольно нанимают на удалённую работу ИТ-специалистов из Северной Кореи. Совместное исследование компаний Flare (занимается управлением киберугрозами) и IBM X-Force показало, что это не разовые инциденты, а системная, хорошо отлаженная индустрия. По данным аналитиков, армия из десятков тысяч фейковых айтишников может приносить режиму КНДР до $500 млн. Эксперты получили редкую возможность заглянуть за кулисы и изучить повседневную рутину этих сотрудников на основе данных киберразведки.
Обычные клерки, а не хакеры
Главное открытие исследователей: вопреки стереотипам, большинство северокорейских специалистов – это не классические киберпреступники, занимающиеся шпионажем или саботажем. Их главная и подавляющая мотивация – стабильный заработок валюты для своей страны.
Хотя некоторые группы действительно могут похищать конфиденциальные корпоративные данные или заниматься вымогательством, в большинстве случаев это обычные удалённые сотрудники. Они работают полный рабочий день, прилежно заполняют табели учёта рабочего времени и выполняют свои прямые обязанности в рамках стандартных часов.
Как работает теневая индустрия
Эта система имеет чёткую многоуровневую структуру. В ней задействованы рекрутеры, организаторы, непосредственно сами разработчики и западные посредники. Роль последних критически важна: северокорейцы находят сообщников через профессиональные платформы, например LinkedIn или GitHub.
Эти посредники предоставляют свои личности для прохождения проверок службами безопасности, оформляют на себя налоговые документы и получают корпоративные ноутбуки. Благодаря такой схеме реальные исполнители из КНДР могут годами работать в компаниях США и Европы, оставаясь абсолютно незамеченными.
Внутренняя ИТ-инфраструктура Пхеньяна
В ходе расследования специалисты Flare и IBM X-Force обнаружили внутреннюю инфраструктуру, через которую государство управляет своими работниками. Выяснилось, что для координации используются специальные платформы, такие как RB Site (предположительно связанная с находящейся под санкциями северокорейской корпорацией Ryonbong) и NetkeyRegister. Через них отслеживается выполнение задач, регистрируются устройства и распространяются обновления софта.
Для безопасного подключения к закрытым сетям КНДР работники используют специализированное программное обеспечение – OConnect и государственный VPN-сервис NetKey. Исследователи даже зафиксировали регулярные обращения к странице с внутренним IP-адресом (192.168.109.2), через которую сотрудники централизованно передавали информацию о своих рабочих машинах.
Повседневная рутина и конспирация
Жизнь северокорейского айтишника мало чем отличается от рутины обычного удалёнщика, за исключением строжайшей секретности. Для общения в локальных сетях они широко используют программу IP Messenger. Интересная деталь: аналитики обнаружили множество логов из «Google Переводчика». Сотрудники регулярно переводят свои рабочие переписки с английского на корейский и обратно, чтобы проверять грамотность и не выдавать своё происхождение перед работодателями. В свободное время они читают северокорейские новости в доменной зоне «.kp», часть из которых недоступна из глобального интернета.
Масштаб явления удивляет: ИТ-бригады не подчиняются какому-то одному правительственному ведомству. Это децентрализованная сеть, в которую вовлечены различные государственные структуры, партийные организации и подставные компании. Исследование доказывает, что корпоративный сектор столкнулся с беспрецедентной угрозой. Компании нанимают квалифицированных специалистов, предоставляя доступ к своим внутренним системам людям, чья главная задача – финансирование одного из самых закрытых режимов в мире.
