Как IT-специалисты из Северной Кореи обманом устраивались в американские компании

Думаете, что благодаря IT-отделу работодателя ваши личные данные в безопасности? Подумайте еще раз.

Министерство юстиции США рассекретило ряд судебных документов, в которых идет речь о хищении персональных данных и других преступлениях, связанных с КНДР. Прокуроры, утверждающие, что северокорейские IT-работники проникают в американские компании и похищают у них деньги, называют это крупнейшим случаем применения подобного рода мошеннической схемы.

Схема

Согласно документам суда, Северная Корея отправляла тысячи квалифицированных сотрудников IT-сферы по всему миру, чтобы те проникали в сети американских компаний и собирали деньги на северокорейскую программу вооружения в нарушение санкций со стороны США и ООН. Схемы подразумевали кражу средств более чем у 300 предприятий в Соединенных Штатах, включая многие всемирно известные корпорации, использование американских платежных платформ и учетных записей на сайтах для поиска работы, прокси-серверы на территории США, а также привлечение американских граждан и организаций (некоторые из них даже не понимали, что помогают мошенникам).

Прокуроры говорят, что все это началось в 2020 году, когда группа зарубежных IT-сотрудников стала оказывать услуги американским фирмам в удаленном режиме. Чтобы добиться трудоустройства, злоумышленники похищали персональные данные американских граждан и подавались с их помощью в США на дистанционные вакансии. Как только договор был заключен (иногда через кадровые агентства), сотрудники получали доступ к внутренним системам американских предприятий. Причем они не только похищали данные и денежные средства, но и получали за свою работу миллионы долларов, а Налоговому управлению США предоставляли ложную информацию.

Кристина Мари Чэпман

Одна из обвиняемых — гражданка США Кристина Мари Чэпман, которую арестовали в аризонском Литчфилд-Парке. Настоящие имена ее сообщников неизвестны, но в обвинительном заключении они условно указаны как Джоны Доу (обозначение неизвестных мужского пола) 1–3 под вымышленными именами Цзихоу Хань, Хаожань Сю и Чуньцзи Цзинь.

Чэпман вменяют пособничество IT-работникам в подтверждении похищенных персональных сведений, чтобы те могли выдавать себя за граждан США. Так сотрудники из-за рубежа смогли устроиться на американские предприятия, включая телесеть из первой пятерки, IT-компанию из Кремниевой долины, производителя аэрокосмического оборудования, американского изготовителя автомобилей, магазин люксовых товаров и популярную в США медиакомпанию (в обвинительном заключении ее называют «одной из самых узнаваемых мировых компаний в сфере медиа и развлечений»), причем каждая из организаций входит в рейтинг 500 крупнейших компаний по версии Fortune. Сторона обвинения заявляет, что зарубежные работники также «выводили» (проще говоря, крали) данные по меньшей мере из двух американских фирм — международной сети ресторанов и американского производителя одежды.

Зарубежные IT-специалисты также трижды пытались получить работу и доступ к информации в двух правительственных агентствах США, однако попытки не увенчались успехом.

ФБР также выписало ордеры на обыск расположенных в США «ферм ноутбуков». Так называют дома, в которых находятся портативные компьютеры для зарубежных IT-сотрудников, создающие видимость, будто они работают на территории Штатов.

Место проживания Чэпман оказалось в числе тех, которые правоохранители обыскали в октябре 2023 года согласно ордеру, выданному федеральным окружным судом Аризоны. Женщину обвиняют в организации у себя дома «фермы ноутбуков» для содействия в реализации схемы. Прокуроры также заявляют, что она получала и подделывала чеки о заработной плате и принимала от американских компаний на собственные финансовые счета в американском банке прямые перечисления в качестве зарплаты для зарубежных IT-сотрудников.

«Использование украденных персональных данных граждан США само по себе является преступлением, но когда такие сведения применяются для трудоустройства поддерживающих связи с Северной Кореей иностранных граждан в американские компании, это подрывает национальную безопасность целой страны, ― отмечает директор отдела Налогового управления по криминальным расследованиям Гай Фикко. ― На протяжении более чем 100 лет специальные агенты отдела Налогового управления по криминальным расследованиям отслеживают денежные потоки, а их финансовая экспертиза в очередной раз сорвала планы преступников».

Прокуроры говорят, что изначально предложение поучаствовать в схеме Чэпман получила через LinkedIn ― там ее попросили стать американским лицом компании. По всей видимости, к настоящему моменту ее страница в социальной сети удалена.

Теперь Чэпман вменяют участие в преступном сговоре с целью хищения средств у Соединенных Штатов, в  сговоре с целью осуществления мошенничества с помощью электронных средств связи, в сговоре с целью осуществления хищения банковских средств, кражу персональных данных при отягчающих обстоятельствах, участие в преступном сговоре с целью хищения персональных данных, участие в сговоре с целью отмывания денежных инструментов, деятельность в качестве нелицензированного бизнеса по переводу денег и незаконное трудоустройство иностранных граждан. Ее соучастникам вменяют участие в преступном сговоре с целью отмывания денег.

Пока что Чэмпан лишь предъявили обвинения, но женщина на них еще не ответила. Если ее признают виновной, ей грозит максимальный срок — 97,5 лет тюремного заключения, в том числе обязательный минимум в два года за кражу персональных данных при отягчающих обстоятельствах.

Согласно документам суда, сейчас интересы Чэпман представляет федеральный адвокат.

Джоны Доу тем временем остаются на свободе. Государственный департамент США объявил о награде за информацию о сообщниках Чэпман в размере до $5 млн. Любого, кто владеет сведениями о людях под псевдонимами Цзихоу Хань, Хаожань Сю и Чуньцзи Цзинь, связанных с ними лицами и организациями либо об их деятельности по получению дохода и отмыванию денег, Минюст США просит обратиться в офис программы «Награда за правосудие».

Старший помощник заместителя генерального прокурора Николь М. Арджентьери, глава криминального отдела Министерства юстиции, заявляет: «Обвинения по данному делу должны стать тревожным звонком для американских компаний и правительственных агентств, где работают дистанционные IT-сотрудники. Эти преступления выгодны правительству Северной Кореи, являются для него источником заработка и в некоторых случаях похищаемой сообщниками служебной информации».

Александр Диденко

В округе Колумбия также был рассекречен иск с обвинениями в адрес уроженца Киева Александра Диденко в том, что он реализовывал отдельную схему по созданию подставных учетных записей на американских платформах по поиску работы в сфере IT с применением американских сервисов для перевода денежных средств.

Согласно материалам жалобы, Диденко управлял сайтом upworksell.com, который якобы предоставлял услуги дистанционным IT-сотрудникам. Как гласит письменное заявление, которое сделал изучавший интернет-страницу специальный агент ФБР, в рекламе на сайте говорилось, что удаленные IT-работники могут покупать или брать в аренду аккаунты, оформленные на других людей. Кроме того, сайт продвигал «аренду кредитных карт» в Евросоюзе и США и аренду SIM-карт для мобильных телефонов. В последнем случае клиенты отправляли деньги к зачислению на карту, а Диденко предоставлял в ответ информацию по ней, взимая за это комиссию.

Предположительно, у мужчины был целый ряд вариантов получения оплаты за свои услуги, включая USDT (стейблкоин Tether), BUSD (стейблкоин Binance), USDC (долларовый стейблкоин) и аккаунты в американских сервисах денежных переводов.

Прокуроры уверены: все это было лишь частью «полного спектра услуг», куда также входили постановочные собеседования, чтобы клиенты могли выдавать себя за других людей и заключать договоры на дистанционное трудоустройство с ничего не подозревающими фирмами.

Домен upworksell.com с тех пор арестован по судебному постановлению Министерства юстиции, а весь трафик сайта перенаправляется в ФБР. Сейчас на странице об этом выставлено соответствующее сообщение.

Согласно письменному заявлению, в арсенале Диденко были «посреднические» персональные данные приблизительно 871 человека, прокси-аккаунты на трех американских платформах по набору IT-персонала и трех различных американских площадках для осуществления денежных переводов. Вместе со своими сообщниками обвиняемый наладил работу по меньшей мере трех «ферм ноутбуков» в Соединенных Штатах, причем одно время общее количество компьютеров на них достигало 79.

По словам стороны обвинения, в своих сообщениях Диденко допускал, что оказывает содействие IT-сотрудникам из Северной Кореи. Вдобавок к этому в ноябре 2023 года одна фирма из США, специализирующаяся на кибербезопасности, нашла на одной онлайн-платформе для хранения данных документы, где описаны попытки северокорейских IT-специалистов трудоустроиться в дистанционном режиме. Согласно документам суда, фирма «с высокой степенью уверенности» сделала вывод о том, что к данным файлам может быть причастна группа шпионов со связями в Северной Корее. В частности, компания заявила: «Несколько из найденных нами документов содержали информацию, которая более четко указывает на Северную Корею. Многие пароли, связанные с данными документами, сделаны путем набора корейского текста на американской раскладке клавиатуры, а некоторые включают слова, используемые только в Северной Корее. Более того, на компьютерах стоящих за этими кампаниями злоумышленников активированы настройки корейской клавиатуры».