Почти каждая компания из списка Fortune 500 хотя бы раз нанимала северокорейского IT-работника. Речь идет о масштабной системе трудовых схем, которая стала для Пхеньяна источником валюты в обход американских санкций.
Fortune 500 — это ежегодный рейтинг крупнейших американских компаний по объему выручки, который публикует журнал Fortune.
По данным издания Axios, киберэксперты фиксируют десятки поддельных резюме, аккаунтов в LinkedIn и фальшивых документов. В результате тысячи "удаленных сотрудников" переводят заработанные деньги в КНДР через подставные фирмы в Китае и криптобиржи.
Система выстроена как транснациональная корпорация: за ней стоят госструктуры Северной Кореи, десятки китайских компаний и американские посредники. Работники проходят подготовку в ведущих вузах Пхеньяна и Пхёнсона, специализируясь в области софта, криптографии и искусственного интеллекта. По данным DTEX Systems, наиболее продвинутые схемы координируются с подразделениями, связанными с группами APT 45 и Lazarus.
В 2024 году CrowdStrike расследовала более 320 инцидентов с участием северокорейских разработчиков. Иногда их участие вскрывалось лишь через месяцы, когда "сотрудники" начинали скачивать данные или вымогать деньги у компаний, пытавшихся их уволить.
Схемы трудоустройства включают использование украденных американских документов, прохождение собеседований под чужими именами и пересылку корпоративных ноутбуков на адреса "ферм" в США, где оборудование подключается к удаленному доступу. В июле ФБР сообщило об обысках на 21 объекте в 14 штатах, изъяв 137 ноутбуков.
Компании, по данным источников, редко публично признают факт найма северокорейцев: сказывается риск репутационных потерь, юридическая неопределенность и опасения санкций. Между тем эксперты предупреждают, что такие работники все активнее изучают технологии в сфере дронов, ИИ и оборонных контрактов.
По словам специалистов CrowdStrike, в последнее время "трудовые бригады" КНДР начинают расширять географию и закрепляться в Европе — в Польше, Румынии и Великобритании. Эксперты считают, что операция находится не в стадии спада, а на этапе расширения.
Комментарии отсутствуют