De Verenigde Staten hebben een plan beschreven dat Noord-Koreaanse IT-medewerkers in staat stelde om op afstand banen te krijgen bij Amerikaanse bedrijven door gebruik te maken van gestolen en vervalste identiteiten. Volgens het ministerie van Justitie hebben vier Amerikaanse burgers en één Oekraïense staatsburger schuld bekend aan hun rol in de operatie, waardoor Noord-Koreaanse werknemers in staat konden infiltreren bij minstens 136 bedrijven op gebieden als technologie, financiën, onderwijs en entertainment. Rechtbankdocumenten stellen dat het plan meer dan twee miljoen dollar opleverde voor Noord-Korea in strijd met de Amerikaanse sancties.
Aanklagers zeiden dat het netwerk actief was tussen 2019 en 2022 en vertrouwde op in de VS gevestigde facilitators die Noord-Koreaanse werknemers hielpen door de werkgeverscontroleprocedures te doorlopen. De facilitators verstrekten gestolen identiteiten, voerden onboardingtaken uit en voerden drugstests uit namens de buitenlandse arbeiders. Ze hadden ook door het bedrijf uitgegeven laptops in hun huizen, zodat netwerkverbindingen leken te komen uit de Verenigde Staten. Op die apparaten werden externe toegangstools geïnstalleerd, waardoor werknemers in het buitenland hun werk konden uitvoeren zonder de aandacht te vestigen op hun werkelijke locatie.
De Oekraïense staatsburger gaf toe gestolen identiteitsgegevens te hebben verstrekt die Noord-Koreaanse arbeiders gebruikten om toegang te krijgen tot minstens 40 bedrijven. Volgens de overheid beheerde hij aanzienlijke delen van het netwerk, regelde communicatie en maakte hij inkomsten over via diverse financiële kanalen. Hij bekende schuld aan samenzwering met draadfraude en zware identiteitsdiefstal en stemde ermee in meer dan een miljoen dollar aan cryptovaluta en andere activa af te staan. Aanklagers zeiden dat de verbeurdverklaring opbrengsten weerspiegelt die direct aan de fraude zijn gekoppeld.
Een van de Amerikaanse gedaagden, een voormalig militair van het leger, erkende meer dan vijftigduizend dollar te hebben ontvangen voor het hosten van apparaten, het uitvoeren van arbeidsstappen voor de werknemers en het helpen omzeilen van bedrijfsbeveiligingsprocedures. Andere verdachten voerden soortgelijke taken uit, waaronder het ontvangen van loonstroken namens de werknemers en het overmaken van geld via Amerikaanse bankrekeningen. Het ministerie van Justitie merkte op dat deze activiteiten het mogelijk maakten dat de arbeiders lange tijd onopgemerkt konden blijven.
Volgens Amerikaanse functionarissen leverde de operatie Noord-Korea inkomsten op die overheidsprogramma’s kunnen ondersteunen, waaronder cyberoperaties. De autoriteiten hebben eerder gewaarschuwd dat het land IT-medewerkers in het buitenland inzet om vreemde valuta te verdienen en toegang te krijgen tot bedrijfsnetwerken. Deze werknemers presenteren zich doorgaans als freelancers en gebruiken VPN-diensten, remote access-tools en identiteitsinformatie die op criminele marktplaatsen zijn gekocht om detectie te voorkomen. Het ministerie van Justitie zei dat de ontmanteling van dit netwerk voortzettingsinspanningen weerspiegelt om deze praktijken te ontwrichten.
Beveiligingsanalisten melden dat schema’s waarbij IT-werk op afstand betrokken is, problemen vormen voor werkgevers, omdat de betrokken personen vaak over legitieme technische vaardigheden beschikken en standaard wervingsscreens kunnen doorstaan. Eenmaal in de systemen van een bedrijf kunnen ze toegang krijgen tot code-repositories, infrastructuurtools of gevoelige operationele gegevens. Analisten raden bedrijven aan om identiteitsverificatiestappen te versterken, toegangsrechten voor thuiswerkers te herzien en tekenen van apparaatdeling of ongebruikelijke netwerkroutering te monitoren.
Het ministerie van Justitie verklaarde dat het doorgaat met het onderzoeken van gerelateerde activiteiten en informatie deelt met getroffen bedrijven. Amerikaanse functionarissen moedigden organisaties die frauduleuze aanwerving of identiteitsmisbruik vermoeden aan om de zaak te melden bij de politie. Zij zeiden dat de zaak het belang benadrukt van het verifiëren van identiteiten voor thuiswerken en het herzien van beveiligingsprotocollen voor verspreide teams.