Desítky severokorejských špionů infiltrovaly desítky amerických technologických společností tím, že se vydávali za pracovníky na dálku.
Severokorejským špionům se podařilo infiltrovat desítky amerických technologických firem, včetně společností z žebříčku Fortune 100, a pomocí falešných identit obsadit pozice v odvětví IT a nových technologií. Tento systém, který je aktivní od roku 2018, odhalila společnost Google prostřednictvím své dceřiné společnosti Mandiant, která se zabývá kybernetickou bezpečností. Hlavním cílem těchto pracovníků je generovat příjmy pro Severní Koreu a financovat její programy zbraní hromadného ničení, čímž se vyhýbají mezinárodním sankcím uvaleným na režim.
Strategie, kterou tito špioni používají, zahrnuje používání nástrojů pro vzdálený přístup, jako jsou Chrome Remote Desktop, TeamViewer a AnyDesk, což Severokorejcům umožňuje pracovat ze zemí, jako je Čína nebo Rusko, zatímco jejich zaměstnavatelé se domnívají, že jsou ve Spojených státech. Podle společnosti Mandiant se skupině známé jako UNC5267, kterou tvoří pracovníci vyslaní Severní Koreou, podařilo infiltrovat několik společností pod rouškou pracovníků pracujících na dálku a využívajících falešnou dokumentaci, aby se vyhnula odhalení. Severní Korea již prokázala silnou kontrolu nad technologiemi doma a nyní ji prostřednictvím těchto agentů rozšiřuje na celém světě.
Infiltrace technologických společností a vyhýbání se sankcím
Konečný cíl těchto pracovníků je dvojí: generovat příjmy pro obohacení Kim Čong-unova režimu a v některých případech získat privilegovaný přístup do systémů společností pro usnadnění kybernetických útoků. Americká vláda v roce 2022 varovala, že mnozí z těchto pracovníků využívají svého postavení k provádění škodlivých činností. Nejvíce znepokojující je, že někteří z těchto severokorejských pracovníků vydělávají až 300 000 dolarů ročně, což je významná částka, která je přelévána zpět do Severní Koreje k udržení jejích jaderných ambicí.
Tito severokorejští pracovníci byli většinou dosazeni do společností, které nabízejí práci na dálku, což usnadňuje používání falešných identit. Ve skutečnosti bylo zjištěno, že mnoho z nich působí na počítačových farmách v zemích, jako je Rusko a Čína, kde jsou nainstalovány technologie pro vzdálený přístup, které spojují pracovníky s jejich americkými zaměstnavateli. V posledních měsících bylo zatčeno několik amerických občanů, kteří tyto farmy provozovali a využívali až 60 ukradených identit k infiltraci severokorejských pracovníků do více než 300 společností, což jim v letech 2020 až 2023 přineslo zisky ve výši 6,8 milionu dolarů.
Taktika zasílání notebooků na jiná místa, než která byla uvedena v žádosti o zaměstnání, vyvolala podezření u několika společností, které nakonec na tyto případy upozornily společnost Google. Počítače byly připojeny k softwaru, jako jsou GoToMeeting a LogMeIn, což pracovníkům umožňovalo vzdálený a nepozorovaný přístup. Nedávný objev severokorejského malwaru propojeného s aplikací WhatsApp poukazuje na propracovanost taktiky, kterou severokorejský režim používá při snaze infiltrovat západní společnosti.
Společnost Mandiant vyzvala firmy, aby posílily svá bezpečnostní opatření o další kontroly, jako jsou videohovory a ověřování polohy počítače. Případ zadrženého amerického pracovníka, jehož zapojení do systému umožnilo nasazení severokorejských pracovníků do více než 300 společností, poukazuje na slabiny ověřovacích systémů a naléhavou potřebu přísnějších opatření k zabránění infiltrace.