במשך שנתיים מיקרוסופט עקבה אחרי ההונאה הצפון-קוריאנית, עכשיו היא חושפת את מה שגילתה
מיקרוסופט פרסמה דוח מקיף שחושף מערך גלובלי של עובדי IT סמויים, שמתחזים למפתחים, DevOps ואנשי תמיכה טכנית ומסייעים לממן את המשטר בפיונגיאנג. במקביל, בארה"ב פתחו במבצע מעצרים נגד חשודים בפרשה
עמוד GitHub של מתחזה צפון קוריאני. תמונה: Microsoft
מאחורי כל מייל, שיחת וידאו עמומה או עבודה על קוד בענן, יכול להסתתר שחקן מתוחכם שמשרת את צפון קוריאה. תופעת עובדי ה-IT המתחזים איננה חדשה וכבר דיווחנו עליה בעבר, אבל בזמן שחברות הטכנולוגיה הגדולות חיפשו את המסתננים, צוותי מודיעין האיומים של מיקרוסופט עבדו קשה במיוחד כדי לחשוף את כל השיטות שבהן הצפון-קוריאנים מנסים לחדור לארגונים השונים ברחבי העולם.
הדוח המלא, עליו עובדת מיקרוסופט מאז 2024, פורסם אמש בבלוג הרשמי של מיקרוסופט, מציג איך צפון-קוריאה מפעילה מערך גלובלי של עובדי IT סמויים, שמתחזים למפתחים, DevOps ואנשי תמיכה טכנית ובפועל מגייסים הכנסות למשטר, אוספים מודיעין, ואף גונבים קוד מקור ונתונים רגישים מחברות מערביות. לפי מיקרוסופט, מדובר באלפי עובדים שפועלים בהנחיית השלטון בצפון קוריאה, אך יושבים גם ברוסיה ובסין, תוך שימוש בכלים כמו VPN, שרתי VPS, פרוקסים וכלי שליטה מרחוק כדי לטשטש את מיקומם. את הזהות המזויפת בה הם משתמשים כדי להתקבל למשרות, הם משיגים בדרכים מגוונות, החל מגניבת תעודות זהות ועד להשכרה של זהויות מאנשים שמודעים להונאה ועדיין מסכימים לקחת בה חלק תמורת תשלום.
פרופיל לינקדין של מתחזה צפון-קוריאני. תמונה: מתוך Microsoft
לטענת מיקרוסופט, בעבר התמקדו המתחזים בעיקר בחברות טכנולוגיה אמריקאיות, אך כיום התופעה מתרחבת לתעשיות רבות בעולם, בכל מקום שיש בו תפקידי טכנולוגיה. מאז 2020, אלפי עובדים כאלה זוהו כשהם משתלבים בחברות דרך תחבולות, כולל ב־300 חברות אמריקאיות, בהן גם חברות Fortune 500.
הפרויקט הצפון-קוריאני נבנה לטווח ארוך, כאשר המתחזים בונים לעצמם תדמית של עובדים איכותיים בלינקדאין, GitHub ואתרי פרילנס שונים. הם בונים תיק עבודות, קורות חיים מרשימים ותמונות שנוצרו או שופרו באמצעות AI. מיקרוסופט מצאה גם עדויות לשימוש נרחב בתוכנות לשינוי קול, ככל הנראה כהכנה לראיונות עבודה מצולמים. כדי לעקוף את מנגנוני אימות הזהות, העובדים משתפים פעולה עם סייענים שמפעילים "חוות מחשבים" במדינות היעד, פותחים עבורם חשבונות בנק, מיילים ותשתיות, ואפילו מופיעים במקומם לפגישות פיזיות. המטרה: להיראות כמו מועמד אמריקאי לגיטימי, להשתלב בצוות ולהתחבר מרחוק מבלי לעורר חשד.
דוגמאות לקורות חיים של עובדי IT מצפון קוריאה. תמונה: מתוך אתר Microsoft
נחשבים לטאלנטים, גונבים את הקוד ואת הכסף
אבל המטרה היא לא רק לעבוד עבור שכר שיופנה לשלטון הצפון-קוריאני. לפי הדוח, העובדים מנצלים את הגישה כדי לגנוב מידע רגיש, סודות מסחריים וקוד ולעיתים אף לסחוט את המעסיק. במקרים רבים הם מצליחים להשתלב ולהישאר בתפקיד חודשים ואף שנים. הדוח מתאר מקרים שבהם עובדים אלה אף נחשבו לטאלנטים בחברות שבהן עבדו.
אחת הקבוצות שעומדת במרכז ההונאה היא קבוצת Jasper Sleet, כאשר מיקרוסופט דיווחה על מאות מקרים שאותרו תחת הקבוצה והובילו להקפאת אלפי חשבונות Outlook ו-Hotmail שנוהלו על ידה, ובשלב מאוחר יותר גם להטמעת התראות ב-Microsoft Entra ו־Defender XDR, למקרים עתידיים. בנוסף, חברות שכבר ניזוקו מההונאה קיבלו דיווח ישיר ממיקרוסופט במטרה לתפוס את המתחזים. החברה גם הטמיעה יכולות זיהוי מבוססות AI, שמנטרות דפוסי התחברות בלתי אפשריים (כמו חיבור מארה"ב ומסין באותה שעה), שימוש בתוכנות RMM חשודות ואותות נוספים.
בארה"ב מנסים להילחם בתופעה
בארצות הברית, שם מודעים לתופעה ומנסים להילחם בה בחומרה, כבר עצרו והגישו כתב אישום נגד ארבעה בני אדם שגנבו מיליונים עבור המשטר הצפון-קוריאני. אמש, במקביל לפרסום הדוח של מיקרוסופט, משרד המשפטים האמריקאי הודיע שכחלק ממבצע רחב היקף, נעצר אזרח אמריקאי נוסף, ג'ן שינג "דני" ואנג, בחשד שבמשך שנים הפעיל מניו ג'רזי הונאה שבמסגרתה החדיר עובדים צפון-קוריאנים לתוך חברות אמריקאיות והוציא מהן במרמה כחמישה מיליון דולר. ואנג מואשם בקשירת קשר לביצוע הונאה מקוונת, הלבנת הון וגניבת זהות.
כל עדכוני ה-IT, תשתית וטכנולוגיה בערוץ הטלגרם של ITtime
מלבדו, משרד המשפטים האמריקאי הודיע שהוגשו שמונה כתבי אישום נגד אזרחים נוספים שלקחו חלק בפעילות, שישה מתוכם בעלי אזרחות סינית ושניים מטאיוון. הם נאשמים בשורת עבירות ובהן קשירת קשר להונאה מקוונת, הלבנת הון, גניבת זהות, פריצה למחשבים והפרת סנקציות.
התובעת הפדרלית של מסצ'וסטס מסרה לתקשורת לאחר מעצרם של החשודים כי "אלפי סוכני סייבר צפון־קוריאניים הוכשרו ונשלחו על ידי המשטר להשתלב בכוח העבודה הדיגיטלי הגלובלי ולתקוף באופן שיטתי חברות אמריקאיות". לדבריה, במשך שלוש שנים, בין 2021 ל-2024, החשודים התחזו ליותר מ-80 בני אדם שונים, כולם אזרחים אמריקאים, והצליחו להתקבל ליותר מ-100 משרות שונות. בדומה למקרים קודמים, גם הקבוצה הזו הפעילה חוות מחשבים מתוך ארה"ב, אך לקחו את הפרוצדורה צעד אחד קדימה והקימו חברות קש בתוך ארה"ב כדי לייצר מצג שווא שהעובדים מקושרים לחברות לגיטימיות בתעשייה, דרכן העבירו למעשה כספים לצפון קוריאה.
כך עבדה השיטה הצפון-קוריאנית. תמונה: Microsoft
המשרד ציין כי בתחילת יוני ביצעה ה-FBI פשיטות על 21 מיקומים ב-14 מדינות, שבהם נוהלו “חוות לפטופים” כחלק מהמזימה. במהלך הפשיטות הוחרמו 137 מחשבים ניידים. בנוסף, תפסו הרשויות לפחות 29 חשבונות ששימשו להלבנת עשרות אלפי דולרים.
המאבק של ארצות הברית בעובדים הצפון-קוריאנים נמצא בשיאו, אבל התופעה כבר חרגה גם לאירופה, שם הצפון-קוריאנים עברו לפעול בחודשים האחרונים לאחר שהבינו כי האמריקאים מתחילים לעלות על עקבותיהם. כעת נותר לתהות, כמה עובדים צפון-קוריאנים עובדים בחברות ישראליות, אם בכלל, והאם המשק הישראלי יכול להתגונן מפניהם.
