本文详细介绍了朝鲜 IT 人员业务范围从美国扩大到欧洲的情况,包括他们的欺诈手段、目标国家、涉及项目,以及各国针对此现象采取的措施和发出的警告。
近年来,朝鲜的 IT 人员业务范围不断拓展,已从美国延伸至欧洲,将越来越多的欧洲各地组织列为目标。这些被称作“IT 战士”的群体,善于隐藏真实身份,常常冒充其他国家的工作人员,借助笔记本电脑农场连接网络,以欺诈手段获取全球各地公司远程自由职业 IT 员工的职位,为朝鲜政权创造收入。
Google 威胁情报小组 (GTIG) 的安全研究人员有了重要发现。在朝鲜 IT 大军的众多成员受到美国指控和制裁之后,他们将目标更多地转向了德国、葡萄牙和英国的公司。
GTIG 首席威胁情报顾问 Jamie Collier 透露:“为了能保住这些工作职位,朝鲜 IT 工作人员可谓是不择手段,他们采用欺骗手段,声称自己拥有多个国家的国籍,像意大利、日本、马来西亚、新加坡、乌克兰、美国和越南等。他们所使用的身份是真实身份和虚构身份的结合。”
“欧洲的 IT 工作者招募是通过各种在线平台进行的,像 Upwork、Telegram 和 Freelancer 等。而他们服务的付款则是通过加密货币、TransferWise 服务和 Payoneer 来完成,这充分突显了他们使用混淆资金来源和去向的方法。”
朝鲜 IT 工作者所针对的国家 (GTIG)
例如,GTIG 调查人员在欧洲求职网站和人力资本管理平台上发现了一些用户凭证,这些凭证与朝鲜 IT 工作者在德国和葡萄牙公司求职相关。此外,朝鲜 IT 工作者还与英国的许多项目有联系,这些项目涵盖了人工智能和区块链技术、网络、机器人和内容管理系统 (CMS) 开发等多个领域。
在 2024 年末,有一名朝鲜 IT 工作者针对国防工业基地和政府部门的多个欧洲组织,使用虚假的参考资料和角色,其目的是更容易地诱骗招聘人员雇用他们。
Mandiant Google 云首席分析师迈克尔·巴恩哈特 (Michael Barnhart) 在一月份接受 BleepingComputer 采访时表示:“我们越来越频繁地看到朝鲜 IT 工作者渗透到大型组织中,他们的目的是窃取敏感数据并对这些企业发出勒索威胁。”
“他们将业务扩展到欧洲以复制他们的成功,这并不令人意外,因为这样更容易诱捕那些不熟悉他们伎俩的公民。”
在 2024 年 9 月 12 日,英国金融制裁实施办公室针对朝鲜 IT 工作者发布了咨询报告,报告中包含了有关潜在目标如何降低其风险敞口的信息,同时警告雇用他们的个人和组织可能会违反金融制裁。
GTIG 的这份报告是在 FBI 多次发出警告之后发布的。此前,FBI 曾警告称,朝鲜大量 IT 员工被派往海外赚取收入,多年来,这些人欺骗了美国和世界各地的数百家公司。而朝鲜政权会将通过这种方式收取的工资中高达 90% 留作己用,每年赚取数亿美元来资助其武器计划。
更令人担忧的是,在被发现和解雇后,一些卧底的朝鲜 IT 工作者还会利用内幕信息敲诈前雇主,威胁泄露从公司系统中窃取的敏感信息。
今年 1 月,美国司法部起诉了两名朝鲜公民和三名协助者,指控他们在 2018 年 4 月至 2024 年 8 月期间参与了一项长达多年的欺诈性远程 IT 工作计划,该计划涉及至少 64 家美国公司。
美国财政部外国资产控制办公室 (OFAC) 还制裁了与朝鲜国防部有联系的朝鲜幌子公司,这些公司被指控通过非法远程 IT 工作计划获取收入。美国国务院现在提供数百万美元,以换取任何可能有助于阻止其欺诈活动的信息。
近年来,韩国和日本政府机构也发出了警告,提醒人们警惕朝鲜人冒充其他国家人员在私营企业担任远程 IT 工作者。
本文围绕朝鲜 IT 人员业务拓展至欧洲展开,介绍了他们在欧洲的欺诈求职手段、涉及项目等情况,还提及了美、英等国的警告和制裁措施,以及其他国家的警惕。这一现象不仅涉及企业数据安全问题,还引发了国际社会对金融制裁和欺诈活动的关注。
