جنگجویان سایبری کره شمالی در تلاش برای نفوذ به شرکت‌های اروپایی

کارکنان فناوری اطلاعات کره شمالی به طور فزاینده‌ای خود را به عنوان فریلنسرهای دورکار از کشورهای دیگر جا می‌زنند تا به شرکت‌های اروپایی نفوذ کنند و سازمان‌ها را در معرض خطر جاسوسی، سرقت داده‌ها و اختلال قرار دهند.

بر اساس تحقیقات گروه اطلاعات تهدید گوگل (Google Threat Intelligence Group)، این کارکنان که خود را «جنگجو» می‌نامند، برای کسب درآمد برای جمهوری دموکراتیک خلق کره (DPRK)، موقعیت‌های شغلی در شرکت‌ها به دست می‌آورند.

به گفته جیمی کالیر، مشاور ارشد اروپا در واحد گوگل، محققان گوگل با همکاری شرکا، افزایش عملیات فعال این به اصطلاح جنگجویان فناوری اطلاعات را در خارج از ایالات متحده طی شش ماه گذشته شناسایی کرده‌اند. کشورهای هدف شامل آلمان، بریتانیا و پرتغال می‌شوند.

کارکنان فناوری اطلاعات کره شمالی در گذشته عمدتاً بر نفوذ به شرکت‌های آمریکایی تمرکز داشتند. در حالی که مشاغل آمریکایی همچنان یک هدف اصلی هستند، افزایش آگاهی از این تهدید، همراه با تحریم‌ها و کیفرخواست‌های وزارت دادگستری آمریکا، باعث شده است تا عملیات به کشورهای دیگر، به ویژه در اروپا، سوق داده شود.

این کارکنان برای به دست آوردن شغل، به دروغ ادعا می‌کنند که اهل کشورهایی از جمله ایتالیا، ژاپن، مالزی، سنگاپور، اوکراین، ایالات متحده و ویتنام هستند. طبق گزارش گوگل، آن‌ها از طریق پلتفرم‌هایی مانند Upwork Inc.، Freelancer و Telegram استخدام می‌شوند و دستمزد خود را با ارز دیجیتال یا از طریق پلتفرم‌های پرداخت دیجیتال از جمله Wise Plc و Payoneer Global Inc. دریافت می‌کنند.

سخنگوی شرکت Wise گفت که این شرکت بررسی‌های تأیید هویت متعددی را روی مشتریان انجام می‌دهد و تراکنش‌ها را برای سوء استفاده از خدماتش نظارت می‌کند. هنگامی که جرم مالی بالقوه‌ای شناسایی شود، تحقیق کرده و در صورت لزوم، حساب‌ها را غیرفعال می‌کند.

سخنگوی Payoneer اظهار داشت که این شرکت از طیف وسیعی از بررسی‌ها برای مبارزه با کلاهبرداری و جرایم مالی استفاده می‌کند و از نزدیک با رگولاتورها و مجریان قانون همکاری می‌کند.

شرکت Upwork اعلام کرد که این یک مشکل در سطح صنعت است و این شرکت «اقدامات قاطعانه‌ای برای شناسایی، مسدود کردن و حذف عوامل مخرب» انجام می‌دهد.

Freelancer و Telegram بلافاصله به درخواست‌ها برای اظهار نظر پاسخ ندادند.

از اواخر اکتبر، شاهد افزایش تعداد کارکنان اخراج شده کره شمالی بوده‌ایم که به دنبال اخاذی از شرکت‌ها هستند و تهدید می‌کنند که داده‌های حساس را در اختیار رقبا قرار خواهند داد. کالیر نوشت که افزایش فشار از سوی ایالات متحده ممکن است این کارکنان فناوری اطلاعات را به «اتخاذ اقدامات تهاجمی‌تر برای حفظ جریان درآمد خود» سوق دهد.

در اواخر سال ۲۰۲۴، یکی از این کارکنان که با حداقل ۱۲ هویت جعلی فعالیت می‌کرد، با ارائه مراجع جعلی، به دنبال استخدام در چندین سازمان در بخش‌های دفاعی و دولتی بود. طبق این تحقیق، در بریتانیا، کارکنان فناوری اطلاعات کره شمالی در پروژه‌هایی از توسعه وب سنتی گرفته تا برنامه‌های پیشرفته بلاکچین و هوش مصنوعی مشارکت داشته‌اند.

گوگل گفت این روند خطرات سیاست‌های «دستگاه خودت را بیاور» (BYOD) را برجسته می‌کند، جایی که شرکت‌ها به کارکنان اجازه می‌دهند از لپ‌تاپ‌های شخصی خود برای دسترسی به سیستم‌های داخلی استفاده کنند. این دستگاه‌ها اغلب فاقد ابزارهای نظارتی و امنیتی شرکتی هستند و شناسایی تهدیدات احتمالی را دشوارتر می‌کنند.

دفتر تحقیقات فدرال (FBI) هشدارهای متعددی در مورد کارکنان فناوری اطلاعات کره شمالی که کسب‌وکارهای آمریکایی را فریب می‌دهند صادر کرده و از شرکت‌ها خواسته است تا فرآیندهای تأیید هویت خود را بهبود بخشند. در ژانویه، وزارت خزانه‌داری آمریکا دو فرد و چهار نهاد را به دلیل «کسب درآمد نامشروع» برای دولت کره شمالی تحریم کرد؛ گفته می‌شود دولت کره شمالی تا ۹۰ درصد از دستمزد کسب شده توسط این کارکنان فناوری اطلاعات را ضبط می‌کند.

در دسامبر، یک دادگاه فدرال در میزوری ۱۴ تبعه کره شمالی را به دلیل دخالت ادعایی در یک طرح استخدام فناوری اطلاعات که طی شش سال ۸۸ میلیون دلار درآمد ایجاد کرده بود، متهم کرد. در برخی موارد، کارفرمایان آمریکایی ناآگاهانه کارکنان فناوری اطلاعات کره شمالی را برای سال‌ها استخدام کرده و صدها هزار دلار به آن‌ها پرداخت کرده بودند.

بریتانیا نیز هشدارهایی در مورد کارکنان فناوری اطلاعات کره شمالی صادر کرده است. در سپتامبر، دفتر اجرای تحریم‌های مالی (Office of Financial Sanctions Implementation) به شرکت‌ها توصیه کرد که بررسی‌های هویتی دقیق‌تری انجام دهند، مصاحبه‌های ویدیویی داشته باشند و از پرداخت با ارز دیجیتال خودداری کنند.