Шпионаж на удалёнке: тайная операция КНДР в сердце Силиконовой долины

Американская технологическая компания Cinder столкнулась с необычной проблемой — в их базе кандидатов на вакансии оказались северокорейские инженеры, которые, как предполагается, работают в интересах правительства КНДР.

Подобные случаи становятся всё более распространенными среди американских компаний, которые нанимают сотрудников для удаленной работы. Северокорейские инженеры, находясь, например, в Китае, пытаются получить должности на удаленке в американских компаниях, чтобы зарабатывать деньги для КНДР, работая под чужими именами.

Cinder отмечает, что Северная Корея давно отправляет своих граждан за границу для заработка средств, которые затем поступают в казну государства. Такие работники обязаны выполнять квоты по заработной плате, значительная часть которой идет в распоряжение правительства. Для предотвращения побегов, семьи сотрудников остаются в Северной Корее в качестве «заложников».

Ситуация обострилась после пандемии COVID-19, когда резко выросло количество вакансий с удаленной работой, особенно в технологической отрасли. Многих инженеров из КНДР привлекают высокие зарплаты в США, которые могут в несколько раз превышать их ежемесячные квоты. Бывший северокорейский бизнесмен Хён-Сын Ли рассказал, что квота для IT-работника из КНДР, работающего в Китае, составляет около $6000 в месяц, и многие компании в США могут легко покрыть эту сумму.

Cinder, основатели которой являются бывшими сотрудниками ЦРУ, смогла быстро распознать и нейтрализовать угрозу. Руководители Cinder ранее работали над вопросами кибербезопасности и прав человека в Северной Корее, что помогло им быстро идентифицировать подозрительных кандидатов.

Один из основателей Cinder отметил, что работа в ЦРУ помогла компании распознать методы работы северокорейских специалистов. Кандидаты, подозреваемые в работе на КНДР, часто не имели присутствия в интернете за пределами корпоративных сетей, использовали недавно созданные профили и измененные (или сгенерированные ИИ) фотографии, а также плохо ориентировались в технологиях и локациях, которые указывали в своем резюме. Кроме того, такие кандидаты проявляли сильное нежелание к командировкам и придерживались заранее подготовленных ответов на вопросы.

Cinder начала более тщательно проверять кандидатов, используя дополнительные методы анализа их истории работы, профилей в социальных сетях и поведения на собеседованиях. Несмотря на это, иногда подозрительные кандидаты всё же доходили до этапа интервью, где их обманы удавалось раскрыть в процессе общения. В одном из таких случаев кандидат, узнав, что клиенты Cinder занимаются расследованиями государственного шпионажа, мгновенно прервал звонок в Zoom и больше не выходил на связь.

В настоящее время Cinder продолжает получать заявки от северокорейских инженеров и активно делится информацией с партнерами из сферы безопасности и рекрутинга. Компании рекомендуют внимательно проверять кандидатов, особенно тех, кто настаивает на полностью удаленной работе, чтобы избежать нежелательного сотрудничества.

Напомним, что в начале августа в США был арестован 38-летний Мэттью Айзек Кнут по обвинению в помощи северокорейским IT-специалистам в получении удаленной работы в американских компаниях. Арестованный создавал условия, чтобы специалисты из Северной Кореи, используя поддельные данные, выдавали себя за граждан США. Кнут организовал так называемую «ферму ноутбуков» — он получал компьютеры, отправленные на имя вымышленного гражданина, устанавливал на ноутбуки программы для удаленного доступа и позволял северокорейским хакерам работать из Китая, создавая иллюзию присутствия в США.