DoJ klaagt 14 Noord-Koreanen aan voor IT-fraude ter waarde van $88 miljoen gedurende zes jaar

Het Amerikaanse ministerie van Justitie (DoJ) heeft 14 staatsburgers van de Democratische Volksrepubliek Korea (DPRK of Noord-Korea) aangeklaagd wegens hun vermeende betrokkenheid bij een langlopende samenzwering om sancties te overtreden en fraude met telebankieren, het witwassen van geld en identiteitsdiefstal te plegen. door illegaal werk te zoeken bij Amerikaanse bedrijven en non-profitorganisaties.

“De samenzweerders, die werkten voor de door de DVK gecontroleerde bedrijven Yanbian Silverstar en Volasys Silverstar, gevestigd in respectievelijk de Volksrepubliek China (VRC) en de Russische Federatie (Rusland), spanden samen om valse, gestolen en geleende identiteiten van Amerikaanse en andere personen om hun Noord-Koreaanse identiteit en buitenlandse locaties te verbergen en werk te krijgen als externe informatietechnologie (IT) werknemers”, aldus het DoJ.

Het IT-arbeidersprogramma heeft het Noord-Koreaanse regime in zes jaar tijd minstens 88 miljoen dollar opgeleverd, zo wordt beweerd. Bovendien hielden de externe medewerkers zich bezig met informatiediefstal, zoals bedrijfseigen broncode, en dreigden ze de gegevens te lekken tenzij er losgeld werd betaald. De op deze manier verkregen illegale opbrengsten werden vervolgens via Amerikaanse en Chinese financiële systemen teruggestuurd naar Pyongyang.

Het DoJ zei dat het op de hoogte is van een werkgever die honderdduizenden dollars aan schadevergoeding heeft geleden nadat hij weigerde in te gaan op de afpersingsvraag van een Noord-Koreaanse IT-medewerker, die vervolgens de vertrouwelijke informatie online lekte.

De geïdentificeerde personen staan ​​hieronder –

  • Jong Song Hwa (정성화)
  • Ri Kyong Sik (리경식)
  • Kim Ryu Song (김류성)
  • Rim Un Chol (림은철)
  • Kim Mu Rim (김무림)
  • Cho Chung Pom (조충범)
  • Hyon Chol-lied (현철성)
  • Son Un Chol (손은철)
  • Sok Kwang Hyok (석광혁)
  • Choe Jong Yong (최정용)
  • Ko Chung Sok (고충석)
  • Kim Ye Won (김예원)
  • Jong Kyong Chol (정경철), en
  • Jang Chol Myong (장철명)

De veertien samenzweerders zouden in verschillende hoedanigheden hebben gewerkt, variërend van senior bedrijfsleiders tot IT-medewerkers. De twee gesanctioneerde bedrijven hebben minstens 130 Noord-Koreaanse IT-medewerkers in dienst genomen, ook wel IT Warriors genoemd, die deelnamen aan ‘socialistische competities’ die door de bedrijven waren georganiseerd om geld te genereren voor de DVK. De best presterende spelers kregen bonussen en andere prijzen.

De ontwikkeling is de laatste in een reeks acties die de Amerikaanse overheid de afgelopen jaren heeft ondernomen om het frauduleuze IT-werknemersplan aan te pakken, een campagne die door de cyberbeveiligingsgemeenschap wordt gevolgd onder de naam Wagemole.

Het DoJ zei dat het sindsdien 29 valse websitedomeinen in beslag heeft genomen (17 in oktober 2023 en 12 in mei 2024) die door IT-medewerkers uit de DVK worden gebruikt om westerse IT-dienstverleners na te bootsen, ter ondersteuning van de bonafide pogingen om arbeidscontracten op afstand binnen te halen voor Amerikaanse en andere bedrijven. bedrijven wereldwijd. Het bureau zei dat het cumulatief ook 2,26 miljoen dollar (inclusief 1,5 miljoen dollar die in oktober 2023 in beslag werd genomen) in beslag heeft genomen van bankrekeningen die aan de regeling zijn gekoppeld.

Daarnaast heeft het ministerie van Buitenlandse Zaken een beloning van maximaal 5 miljoen dollar aangekondigd voor informatie over de frontbedrijven, de geïdentificeerde personen en hun illegale activiteiten.

“De IT-werknemersprogramma’s van de DVK omvatten het gebruik van pseudonieme e-mail, sociale media, betaalplatforms en online vacaturesite-accounts, evenals valse websites, proxycomputers, virtuele privénetwerken, virtuele privéservers en onwetende derde partijen in de Verenigde Staten en elders”, aldus het DoJ. “De samenzweerders gebruikten vele technieken om hun Noord-Koreaanse identiteit voor werkgevers te verbergen.”

Eén van die methoden is het gebruik van laptopfarms in de VS, door mensen die in het land wonen te betalen voor het ontvangen en installeren van door het bedrijf uitgegeven laptops, zodat de IT-medewerkers op afstand verbinding kunnen maken via de software die erop is geïnstalleerd. Het idee is om de indruk te wekken dat ze toegang krijgen tot werk vanuit de VS, terwijl ze zich in werkelijkheid in China of Rusland bevinden.

Alle veertien samenzweerders zijn beschuldigd van samenzwering om de International Emergency Economic Powers Act te schenden, samenzwering om fraude te plegen, samenzwering om geld wit te wassen en samenzwering om identiteitsdiefstal te plegen. Acht van hen zijn beschuldigd van ernstige identiteitsdiefstal. Indien veroordeeld, riskeert elk van hen een maximale gevangenisstraf van 27 jaar.

Radiant Capital Crypto-overval gekoppeld aan Citrien Sleet

De oplichting door IT-werkers is slechts een van de vele methoden die Noord-Korea heeft omarmd om illegale inkomsten te genereren en zijn strategische doelstellingen te ondersteunen. De andere zijn diefstal van cryptocurrency en het aanvallen van banken en blockchain-bedrijven.

Eerder deze maand schreef het gedecentraliseerde financiële (DeFi) platform Radiant Capital een aan Noord-Korea gelinkte dreigingsacteur genaamd Citrine Sleet toe aan de cryptocurrency-overval ter waarde van $50 miljoen die plaatsvond na een inbreuk op zijn systemen in oktober 2024.

De tegenstander, ook wel Gleaming Pisces, Labyrinth Chollima, Nickel Academy en UNC4736 genoemd, is een subcluster binnen de Lazarus Group. Het staat ook bekend om het organiseren van een aanhoudende social engineering-campagne genaamd Operation Dream Job, die tot doel heeft ontwikkelaars met lucratieve vacatures te verleiden om hen te misleiden om malware te downloaden.

Het is vermeldenswaard dat deze inspanningen ook verschillende vormen aannemen, afhankelijk van het activiteitencluster erachter, wat kan variëren van codeertests (Contagious Interview) tot samenwerken aan een GitHub-project (Jade Sleet).

De aanval op Radiant Capital verliep niet anders, in die zin dat een ontwikkelaar van het bedrijf in september op Telegram door de bedreigingsacteur werd benaderd door zich voor te doen als een vertrouwde voormalige contractant, waarbij hij ogenschijnlijk feedback vroeg over zijn werk als onderdeel van een nieuwe carrièremogelijkheid met betrekking tot slimme contracten. auditing.

Het bericht bevatte een link naar een ZIP-archief met een PDF-bestand dat op zijn beurt een macOS-achterdeur met de codenaam INLETDRIFT afleverde die, naast het weergeven van een lokdocument aan het slachtoffer, ook heimelijke communicatie tot stand bracht met een externe server (“atokyonews(.)com “).

“De aanvallers waren in staat meerdere ontwikkelaarsapparaten in gevaar te brengen”, aldus Radiant Capital. “De front-endinterfaces vertoonden goedaardige transactiegegevens, terwijl kwaadaardige transacties op de achtergrond werden ondertekend. Traditionele controles en simulaties lieten geen duidelijke discrepanties zien, waardoor de dreiging vrijwel onzichtbaar werd tijdens normale beoordelingsfasen.”

Thijs Van der Does