Die Vereinigten Staaten haben ein Schema beschrieben, das es nordkoreanischen IT-Mitarbeitern ermöglichte, durch gestohlene und gefälschte Identitäten Remote-Jobs bei amerikanischen Unternehmen zu erhalten. Laut dem Justizministerium haben vier US-Bürger und ein ukrainischer Staatsangehöriger sich schuldig bekannt, an der Operation beteiligt zu sein, die es nordkoreanischen Arbeitern ermöglichte, in mindestens 136 Unternehmen in Bereichen wie Technologie, Finanzen, Bildung und Unterhaltung einzudringen. Gerichtsunterlagen besagen, dass das Vorhaben mehr als zwei Millionen Dollar für Nordkorea generierte und damit gegen die US-Sanktionen verstößt.
Staatsanwälte erklärten, das Netzwerk sei zwischen 2019 und 2022 aktiv gewesen und habe sich auf in den USA ansässige Facilitatoren verlassen, die nordkoreanischen Arbeitnehmern halfen, die Arbeitgeberprüfungsverfahren zu bestehen. Die Facilitatoren stellten gestohlene Identitäten zur Verfügung, erledigten Onboarding-Aufgaben und führten Drogentests im Namen der ausländischen Mitarbeiter durch. Sie hatten auch firmeneigene Laptops in ihren Häusern, sodass Netzwerkverbindungen scheinbar aus den Vereinigten Staaten stammten. Auf diesen Geräten wurden Fernzugriffstools installiert, die es den Arbeitern im Ausland ermöglichten, ihre Aufgaben zu erledigen, ohne auf ihren tatsächlichen Standort aufmerksam zu machen.
Der ukrainische Staatsangehörige gab zu, gestohlene Identitätsinformationen zur Verfügung gestellt zu haben, die nordkoreanische Arbeiter nutzten, um Zugang zu mindestens 40 Unternehmen zu erhalten. Laut Regierung verwaltete er bedeutende Teile des Netzwerks, führte die Kommunikation und transferierte Einkünfte über verschiedene Finanzkanäle. Er bekannte sich schuldig wegen Verschwörung wegen Drahtbetrugs und schweren Identitätsdiebstahls und erklärte sich bereit, mehr als eine Million Dollar an Kryptowährungen und anderen Vermögenswerten aufzugeben. Die Staatsanwaltschaft erklärte, die Einziehung spiegele Erlöse wider, die direkt mit dem Betrug verknüpft sind.
Einer der US-Angeklagten, ein ehemaliges Mitglied der Armee, gab zu, mehr als fünfzigtausend Dollar für das Hosten von Geräten, die Durchführung von Arbeitsschritten für die Arbeiter und die Unterstützung bei der Umgehung von Unternehmenssicherheitsmaßnahmen erhalten zu haben. Andere Angeklagte führten ähnliche Aufgaben aus, darunter das Entgegennehmen von Gehaltsschecks im Namen der Arbeiter und die Überweisung von Geldern über US-Bankkonten. Das Justizministerium stellte fest, dass diese Aktivitäten es den Arbeitern ermöglichten, lange Zeit unentdeckt zu bleiben.
Laut US-Beamten brachte die Operation Nordkorea Einnahmen, die Regierungsprogramme, einschließlich Cyberoperationen, unterstützen können. Die Behörden haben zuvor gewarnt, dass das Land IT-Mitarbeiter ins Ausland entsendet, um Fremdwährung zu verdienen und Zugang zu Unternehmensnetzwerken zu erhalten. Diese Mitarbeiter geben sich typischerweise als Freiberufler auf und nutzen VPN-Dienste, Fernzugriffstools und Identitätsinformationen, die auf kriminellen Marktplätzen erworben wurden, um nicht entdeckt zu werden. Das Justizministerium erklärte, dass die Auflösung dieses Netzwerks die fortlaufenden Bemühungen widerspiegelt, diese Praktiken zu stören.
Sicherheitsanalysten berichten, dass Schemata mit Remote-IT-Arbeit für Arbeitgeber Herausforderungen darstellen, da die beteiligten Personen oft über legitime technische Fähigkeiten verfügen und standardmäßige Einstellungstests bestehen können. Sobald sie in den Systemen eines Unternehmens sind, können sie Zugriff auf Code-Repositories, Infrastrukturtools oder sensible Betriebsdaten erhalten. Analysten empfehlen, dass Unternehmen die Identitätsverifizierungsmaßnahmen verstärken, Zugriffsrechte für Remote-Mitarbeiter überprüfen und Anzeichen von Gerätefreigabe oder ungewöhnlichem Netzwerkrouting überwachen.
Das Justizministerium erklärte, dass es weiterhin verwandte Aktivitäten untersucht und Informationen mit betroffenen Unternehmen teilt. US-Beamte ermutigten Organisationen, die betrügerische Einstellungen oder Identitätsmissbrauch vermuten, die Angelegenheit den Strafverfolgungsbehörden zu melden. Sie sagten, der Fall unterstreiche die Bedeutung der Überprüfung der Identitäten von Remote-Arbeiten und der Überprüfung der Sicherheitsprotokolle für verteilte Teams.