Представители северокорейской элиты тайно получают доход на Западе
Возросшая активность федеральных властей, включая выдвинутые за последний год обвинения, привлекла внимание к схеме, разворачивающейся внутри корпоративных процессов найма.
Граждане КНДР получают должности удалённых IT-подрядчиков и штатных сотрудников в организациях по всей Северной Америке и Западной Европе, используя стандартные каналы трудоустройства.
Исследования IBM X-Force и Flare описывают, как эти работники действуют в рамках более широкой государственной системы, связанной с извлечением дохода и получением доступа к корпоративной среде. Их деятельность может выходить за рамки обычной работы и включать кражу коммерческой информации, вымогательство и поддержку других северокорейских групп.
Масштабы рабочей силы и извлечение дохода
Данные за 2023 год указывают, что число зарубежных работников составляло от 3 000 до 10 000 человек. Анализ 2024 года выявляет более 100 000 работников в 40 странах, включая их участие в таких секторах, как информационные технологии.
Годовой доход от этой деятельности достигает примерно 500 миллионов долларов. Отдельные IT-специалисты могут зарабатывать более 300 000 долларов в год.
Северокорейские IT-работники считаются элитой общества и играют ключевую роль в продвижении стратегических целей правительства.
Работники проходят подготовку через специализированные образовательные системы и распределяются через множество государственных органов и связанных с ними организаций. Это создаёт распределённую структуру, поддерживающую устойчивую глобальную активность.
Набор персонала и адаптация
Процесс начинается с рекрутеров, которые выявляют и отбирают кандидатов. Вакансии представляются как законные должности, часто описываемые как позиции в стартапах на ранней стадии. Кандидатам сообщают, что они изучат стратегии поиска работы и будут подавать заявки на удалённые позиции, используя предоставленные профили.
Кандидатов информируют, что они будут использовать личности, привязанные к определённым регионам, включая профили на основе США, и должны соблюдать соответствующий рабочий график. Им также говорят, что их основной обязанностью является трудоустройство в сторонних компаниях.
Собеседования короткие и структурированные. В одном задокументированном случае было два собеседования с HR по 15 минут каждое. Ключевыми критериями отбора являются знание английского языка и технические навыки.
После принятия работники переходят к адаптации. Координаторы предоставляют им личности, профили и средства связи, а также помогают с обновлением резюме, подготовкой к собеседованиям и первыми заявками на работу.
Создание личности и техническая настройка
После завершения адаптации внимание переключается на формирование работоспособной личности и её техническую основу. Профили создаются с вымышленными именами, обработанными изображениями и трудовой биографией, адаптированной под конкретные регионы. Исполнители изучают местные компании и университеты, чтобы резюме выглядело правдоподобно.
Техническая сторона не менее важна. Работа ведётся на виртуальных машинах или удалённых системах, которые выглядят расположенными в том же регионе, что и личность. Иногда эти системы размещаются на облачной инфраструктуре. В других случаях они принадлежат соучастникам, предоставляющим удалённый доступ. Одна машина может обслуживать несколько личностей одновременно.
Создание учётных записей обычно начинается с одноразовой электронной почты от провайдера с минимальными требованиями к проверке. Затем эта учётная запись используется для создания дополнительных профилей на платформах, таких как LinkedIn, GitHub и Upwork.
Изображения корректируются в соответствии с персонажем. Фотографии могут редактироваться или генерироваться, с добавлением или изменением фона, чтобы избежать обнаружения. Профили на GitHub часто содержат минимальный или постановочный контент, который намекает на опыт разработки, не демонстрируя реальной активности.
За кулисами внутренние инструменты обеспечивают работоспособность всего процесса. NetKey и OConnect предоставляют сетевой доступ. RB Site отслеживает устройства, инфраструктуру и платежи. NetkeyRegister поддерживает настройку учётных записей. Для общения исполнители полагаются на IP Messenger, который позволяет им обмениваться информацией без использования централизованных платформ.
Получение работы движет всей операцией
Цель — быть нанятым. Удержание работы — задача второстепенная.
Исполнители массово подают заявки как на фриланс, так и на штатные позиции. На платформах для фрилансеров размещаются сотни предложений за один день. Лишь небольшая часть из них превращается в оплачиваемую работу, стоимостью от 200 до 1000 долларов за проект.
Штатные позиции обрабатываются с тем же массовым подходом. Ежедневно отправляются десятки заявок, иногда превышая сотню. Помощники могут увеличить это число до нескольких сотен на нескольких платформах.
Заявки адаптируются под используемую личность. Местоположение, опыт и образование корректируются, чтобы профиль соответствовал целевому рынку труда.
Соучастники выполняют требования найма
Полная занятость предполагает более строгие проверки личности и требования к выплатам, которые работники не могут выполнить самостоятельно. Чтобы пройти эти этапы, они прибегают к помощи посредников или брокеров, которые берут на себя те части процесса найма, где требуется реальная, подтверждённая личность.
В некоторых случаях такие договорённости носят постоянный характер, хотя не всегда ясно, передаются ли удостоверения личности добровольно, продаются или получаются без согласия.
Поиск помощников — это активный процесс. Работники используют LinkedIn и GitHub для выявления потенциальных партнёров, часто ориентируясь на самозанятых лиц, чтобы сохранить видимость независимой работы.
Некоторые организаторы открыто размещают объявления о помощи, представляясь кандидатами из таких мест, как Сингапур или Гонконг, которые стремятся получить работу в США или Европе.
Как только помощник найден, он берёт на себя задачи, необходимые для окончательного оформления трудоустройства. Это может включать прохождение проверок биографии, предоставление документов, удостоверяющих личность, заполнение форм, таких как I-9, получение корпоративных устройств, а также предоставление банковских и налоговых реквизитов.
Взамен работники могут предложить долю от своего заработка, а успешное партнёрство может привести к привлечению дополнительных помощников по рекомендациям.
Выполнение работы следует повторяющейся схеме
После найма работники действуют в стандартной корпоративной среде. Они получают доступ к таким инструментам, как электронная почта, Slack, Jira и платформы для разработки. В некоторых случаях этот доступ распространяется на системы клиентов.
Ежедневная работа следует постоянному распорядку. Задачи переводятся, исследуются и часто пропускаются через такие инструменты, как ChatGPT, прежде чем быть снова переведёнными и отправленными.
Google Translate играет ключевую роль в этом процессе. Он используется для написания сообщений, понимания инструкций и общения с другими. Целые диалоги могут вставляться в этот инструмент для преодоления языкового барьера.
Внутренний учёт фиксирует результаты и время
Внутренняя документация показывает детальный учёт активности. Работники регистрируют время с точностью до секунды и записывают количество выполненных заявок и сообщений.
Команды состоят из двух-трёх человек, с рейтингом, основанным на отработанных часах и объёме выполненной работы. Примеры показывают, что одни работники в среднем трудятся по 14 часов в день, а другие — около 11 часов.
Исследователи полагают, что системы рейтингов могут отражать более широкие социальные практики, при которых лица на более низких позициях подвергаются сессиям критики со стороны коллег.
Завершение возвращает к началу
Большинство ролей длятся лишь недели или месяцы. Проблемы с производительностью или недопонимание часто приводят к увольнению.
Когда это происходит, сотрудники возвращают оборудование через посредников, отказываются от личности и начинают заново. Создаются новые профили, подаются новые заявки, и цикл повторяется.
«В отличие от традиционных злоумышленников, защита организации от проникновения северокорейских IT-специалистов — это не исключительная задача службы безопасности, а совместные усилия отдела кадров, операционной безопасности, руководителей, нанимающих сотрудников, и интервьюеров», — заключили исследователи.