Gli Stati Uniti hanno dettagliato uno schema che ha permesso ai lavoratori IT nordcoreani di ottenere lavori da remoto in aziende americane utilizzando identità rubate e fabbricate. Secondo il Dipartimento di Giustizia, quattro cittadini statunitensi e un cittadino ucraino si sono dichiarati colpevoli di ruoli nell’operazione, che ha permesso ai lavoratori nordcoreani di infiltrarsi in almeno 136 aziende in settori come tecnologia, finanza, istruzione e intrattenimento. I documenti giudiziari affermano che il progetto generò più di due milioni di dollari per la Corea del Nord in violazione delle sanzioni statunitensi.
I pubblici ministeri hanno affermato che la rete ha operato tra il 2019 e il 2022 e si è basata su facilitatori statunitensi che hanno aiutato i lavoratori nordcoreani a superare le procedure di verifica dei datori di lavoro. I facilitatori fornivano identità rubate, completavano compiti di inserimento e conducevano test antidroga per conto dei lavoratori stranieri. Ospitavano anche laptop forniti dall’azienda nelle loro case, così che le connessioni di rete sembravano avere origine negli Stati Uniti. Su quei dispositivi furono installati strumenti di accesso remoto, permettendo ai lavoratori all’estero di svolgere il proprio lavoro senza attirare l’attenzione sulla loro vera posizione.
Il cittadino ucraino ha ammesso di aver fornito informazioni d’identità rubate che i lavoratori nordcoreani hanno utilizzato per accedere ad almeno 40 aziende. Secondo il governo, gestiva parti significative della rete, gestiva le comunicazioni e trasferiva i guadagni attraverso vari canali finanziari. Si è dichiarato colpevole di frode telegrafica, cospirazione e furto d’identità aggravato, accettando di perdere più di un milione di dollari in criptovalute e altri beni. I procuratori hanno affermato che la confisca riflette proventi direttamente legati alla frode.
Uno degli imputati statunitensi, ex militare dell’esercito, ha riconosciuto di aver ricevuto più di cinquantamila dollari per ospitare dispositivi, completare i passaggi di impiego dei lavoratori e aiutarli a aggirare le procedure di sicurezza aziendale. Altri imputati svolgevano compiti simili, tra cui ricevere stipendi per conto dei lavoratori e trasferire fondi tramite conti bancari statunitensi. Il Dipartimento di Giustizia ha osservato che queste attività hanno permesso ai lavoratori di rimanere inosservati per lunghi periodi di tempo.
Secondo funzionari statunitensi, l’operazione ha fornito alla Corea del Nord entrate che possono sostenere programmi governativi, comprese le operazioni informatiche. Le autorità hanno già avvertito che il paese impiega lavoratori IT all’estero per guadagnare valuta estera e accedere alle reti aziendali. Questi lavoratori si presentano tipicamente come freelance e utilizzano servizi VPN, strumenti di accesso remoto e informazioni d’identità acquistate sui marketplace criminali per evitare di essere scoperti. Il Dipartimento di Giustizia ha affermato che lo smantellamento di questa rete riflette gli sforzi in corso per interrompere queste pratiche.
Gli analisti di sicurezza riportano che gli schemi che coinvolgono il lavoro IT da remoto creano sfide per i datori di lavoro perché le persone coinvolte spesso possiedono competenze tecniche legittime e possono superare le verifiche standard di assunzione. Una volta all’interno dei sistemi di un’azienda, possono accedere a repository di codice, strumenti infrastrutturali o dati operativi sensibili. Gli analisti raccomandano alle aziende di rafforzare i passaggi di verifica dell’identità, di rivedere i privilegi di accesso per i lavoratori da remoto e di monitorare segni di condivisione dei dispositivi o insequibili influssi di rete.
Il Dipartimento di Giustizia ha dichiarato di continuare a indagare sulle attività correlate e di condividere informazioni con le aziende interessate. I funzionari statunitensi hanno incoraggiato le organizzazioni che sospettano assunzioni fraudolente o uso improprio dell’identità a segnalare la questione alle forze dell’ordine. Hanno affermato che il caso evidenzia l’importanza di verificare le identità del lavoro remoto e di rivedere i protocolli di sicurezza per i team distribuiti.