Bộ Tư pháp đã tiết lộ một chiến dịch phối hợp quy mô lớn nhắm vào các nhân viên IT làm việc từ xa của Triều Tiên, những người đã thành công xâm nhập vào hơn 300 công ty Mỹ, bao gồm các tập đoàn Fortune 500, bằng cách sử dụng các kế hoạch tinh vi về trộm cắp danh tính và trang trại laptop. Chiến dịch này đã dẫn đến việc buộc tội trên 16 bang, tịch thu 29 tài khoản tài chính và thu hồi khoảng 200 máy tính được sử dụng trong vụ lừa đảo phức tạp này.
Quy mô hoạt động:
- Hơn 300 công ty Mỹ bị xâm nhập (bao gồm cả các tập đoàn Fortune 500 )
- Hơn 60 danh tính người Mỹ bị đánh cắp và sử dụng
- 29 tài khoản tài chính bị tịch thu
- 157 máy tính xách tay được thu hồi từ 21 địa điểm trên khắp 14 bang
- Các hoạt động kéo dài từ năm 2021 đến tháng 10 năm 2024
Sự lừa dối của trang trại laptop
Trung tâm của kế hoạch này là các trang trại laptop có trụ sở tại Mỹ - những địa điểm vật lý nơi các đồng phạm lưu trữ các laptop do công ty cung cấp mà các nhân viên Triều Tiên có thể truy cập từ xa. Những người hỗ trợ này đã sử dụng các thiết bị chuyển đổi keyboard-video-mouse (KVM) và các phần cứng khác để tạo ra ảo tưởng rằng các nhân viên đang có mặt tại Hoa Kỳ. Thiết lập này rất thuyết phục đến mức đã lừa được các tập đoàn lớn trong nhiều năm, tạo ra hơn 68 triệu đô la Mỹ doanh thu cho chế độ Triều Tiên.
Cộng đồng đã đặt ra những câu hỏi thú vị về cách những nhân viên này đã quản lý để duy trì lớp ngụy trang của họ trong các tương tác bình thường tại nơi làm việc. Một người bình luận đã lưu ý về thách thức của các cuộc trò chuyện thông thường về các sự kiện hiện tại thường xảy ra trong các cuộc họp, tự hỏi liệu các tương tác có được giữ nghiêm ngặt trong giao tiếp dựa trên văn bản để tránh bị phát hiện hay không.
Tác động tài chính:
- Hơn 68 triệu USD được tạo ra cho chế độ Triều Tiên
- Hơn 900.000 USD tiền điện tử bị đánh cắp
- Ít nhất 3 triệu USD thiệt hại cho các công ty Mỹ
- Các lao động cá nhân kiếm được tới 300.000 USD mỗi năm
Trộm cắp danh tính ở quy mô công nghiệp
Chiến dịch này liên quan đến việc trộm cắp hơn 60 danh tính của công dân Mỹ để tạo ra các nhân vật giả cho việc làm việc từ xa. Các nhân viên Triều Tiên, được hỗ trợ bởi các đồng phạm ở Trung Quốc, Đài Loan và UAE, đã tạo ra những câu chuyện phức tạp hoàn chỉnh với các trang web gian lận và các công ty bình phong như Hepang Tech LLC và Tony WKU LLC. Những doanh nghiệp giả này phục vụ để hợp pháp hóa thông tin xác thực của các nhân viên và cung cấp các kênh để rửa tiền.
Sự tinh vi của kế hoạch này vượt xa việc trộm cắp danh tính đơn giản. Các nhân viên đã thành công vượt qua các cuộc phỏng vấn kỹ thuật và thử thách lập trình, với một số người kiếm được tới 300.000 đô la Mỹ hàng năm. Điều này đã khơi dậy cuộc thảo luận về việc liệu các thực hành tuyển dụng hiện tại trong việc đối xử với nhân viên như những nguồn lực ẩn danh có làm cho các công ty dễ bị tổn thương trước sự xâm nhập như vậy hay không.
Bí mật quân sự bị đánh cắp và tiền điện tử
Có lẽ điều đáng lo ngại nhất là việc trộm cắp dữ liệu nhạy cảm, bao gồm thông tin được kiểm soát theo Quy định Giao thông Quốc tế về Vũ khí (ITAR) từ các nhà thầu quốc phòng đang phát triển thiết bị quân sự được hỗ trợ bởi AI. Trong các sự cố riêng biệt, các nhân viên Triều Tiên tại các công ty blockchain đã đánh cắp hơn 900.000 đô la Mỹ tiền điện tử bằng cách sửa đổi mã nguồn hợp đồng thông minh và khai thác quyền truy cập đáng tin cậy của họ vào các hệ thống công ty.
Các khoản tiền bị đánh cắp đã được rửa thông qua các bộ trộn tiền điện tử như Tornado Cash trước khi được chuyển đến các tài khoản do các đặc vụ Triều Tiên kiểm soát bằng cách sử dụng các tài liệu nhận dạng Malaysia gian lận.
Các Bị Cáo Chính và Địa Điểm:
- Những Kẻ Hỗ Trợ từ Mỹ: Zhengxing "Danny" Wang ( New Jersey ), Kujia "Tony" Wang ( New Jersey )
- Công Dân Trung Quốc: Bo Han , Rong Yan , Zhao Peng , Yong Xu , Yuan Yuan , Zhenhong Zhou
- Công Dân Đài Loan: Mengting Hsieh , Enchie Liu
- Công Nhân Triều Tiên: Kim Kwang Jin , Kung Tae Bok , Jong Yong Ju , Chang Nam Il
Thách thức phòng chống phía trước
không có gì cả, họ sẽ không... tất cả danh tính của chúng ta đều được rao bán và có thể được sử dụng để mở tài khoản ngân hàng, môi giới và tiền điện tử và chúng ta sẽ không bao giờ được thông báo về điều này
Cộng đồng vẫn hoài nghi về các biện pháp phòng ngừa, chỉ ra những lỗ hổng cơ bản trong hệ thống xác minh danh tính của Mỹ. Sự dễ dàng mà thông tin cá nhân có thể được mua và sử dụng để tạo ra những danh tính giả thuyết phục cho thấy vấn đề này vượt xa các hoạt động của Triều Tiên.
Các công ty hiện đang vật lộn với cách xác minh danh tính và vị trí thực sự của các nhân viên làm việc từ xa mà không tạo ra các quy trình tuyển dụng quá cồng kềnh. Sự cố này làm nổi bật sự căng thẳng giữa tính linh hoạt của làm việc từ xa và các rủi ro bảo mật mà nó có thể gây ra, đặc biệt khi đối phó với các tác nhân được nhà nước tài trợ có nguồn lực đáng kể và động lực để duy trì các hoạt động xâm nhập dài hạn.