北韓人使用假名字和劇本以獲得遠程IT工作的現金收入
Insight: North Koreans use fake names, scripts to land remote IT work for cash
By James Pearson
November 21, 2023 10:12 PM GMT+8
倫敦,11月21日(路透社) - 北韓IT工作者為了在西方科技公司找到工作,正在使用假名字、虛構的LinkedIn個人檔案、偽造的工作文件和虛構的面試劇本等高度複雜的策略。
根據路透社查閱的文件、一位前北韓IT工作者的訪談以及網絡安全研究人員的說法,要在北韓以外的地方找到工作,以秘密方式賺取孤立國家的硬通貨,需要高度發展的策略,以說服西方的招聘經理。
根據美國、韓國和聯合國的說法,北韓已經派遣數千名IT工作者海外,這一努力在過去四年加速進行,旨在為平壤的核導彈計劃籌集數百萬資金。
北韓軟體開發人員使用的一份面試劇本中寫道:"人們有權表達想法和意見",並提供了如何描述"良好企業文化"的建議。在北韓,自由地表達思想可能會遭到監禁。
這些共30頁的劇本是由美國網絡安全公司Palo Alto Networks (PANW.O)的研究人員發現的。他們在網上發現了一批內部文件,詳細介紹了北韓遠程IT工作人員的運作方式。
這些文件包含了數十份虛假履歷、網上個人資料、面試筆記和偽造身份,北韓工作人員用這些來申請軟體開發的工作。
路透社在洩露的暗網數據中發現了進一步的證據,揭示了北韓工作人員用來說服公司聘僱他們的工具和技巧,這些工作遠至智利、紐西蘭、美國、烏茲別克和阿拉伯聯合酋長國等地。
這些文件和數據揭示了北韓當局為確保這項計劃成功而進行的強烈努力和隱匿行動,這已成為這個資金短缺政權的一條至關重要的外匯生命線。
北韓的聯合國代表未對置詢評論的請求作出回應。
遠程IT工作者的收入可能是在建築或其他手工勞動工作的北韓傳統勞動者的十倍以上,美國司法部(DOJ)在2022年表示,一組這樣的工作者年收入可達300萬美元以上。
路透社無法確定這項計劃多年來產生了多少收益。
一些旨在為工作者準備面試問題的劇本中,包含了需要遠程工作的藉口。
"Richard"是一位資深嵌入式軟體開發人員,他表示:"我在幾週前飛往新加坡。我父母感染了Covid,我決定和家人在一起一段時間。現在,我計劃在三個月後回洛杉磯。我在考慮是否可以立即遠程工作,然後回LA時再正式上班。"
一位最近叛逃的北韓IT工作者也審查了這些文件,向路透社確認了其真實性:"我們每年會創建20到50個虛假檔案,直到被僱用為止,"他說。
他查看了劇本、數據和文件,表示這正是他過去一直在做的事情,因為他認出了使用的戰術和技巧。
"一旦我被僱用,我會創建另一個虛假檔案來獲得第二份工作,"這位工作者在匿名的情況下講話,引述了安全擔憂。
去年,美國政府表示,北韓的IT工作者主要位於中國和俄羅斯,還有一些位於非洲和東南亞,每年可以賺取高達30萬美元。
美國司法部和聯邦調查局(FBI)在10月查封了17個網站域名,聲稱這些域名是北韓IT工作者用來欺詐企業和資金的。他們還查封了150萬美元的資金。
美國司法部表示,北韓開發人員在美國公司內工作時,通常會使用假名電子郵件和社交媒體帳戶,並通過這個計劃代表受到制裁的北韓實體每年賺取數百萬美元。
"這對北韓政府來說是一種風險,因為這些特權工作者暴露於世界和他們國家被強制落後的危險現實之中,"與叛逃者合作的「自由在北韓」組織的Sokeel Park表示。
根據這位前IT工作者的經驗,他表示所有人都預期至少賺取10萬美元,其中30-40%匯回平壤,30-60%用於經常性開支,而10-30%則由工作者自行保留。
他估計,全球約有3,000名像他一樣在海外工作的北韓IT工作者,還有另外1,000人在北韓境內。
"我工作是為了賺取外幣," 他告訴路透社。 "每個人的情況都不同,但基本上,一旦你得到一份遠程工作,你可以工作短至六個月,長至三到四年。"
"當找不到工作時,你就自由工作。"
這些研究人員是帕羅奧圖的Unit 42網路研究部門的一部分,在調查一場北韓駭客針對軟體開發人員的活動時發現了這一情況。
Unit 42表示,其中一名駭客將文件留在一個伺服器上,顯示朝鮮駭客和其IT工作者之間存在聯繫,儘管這位亡命者表示間諜活動僅針對少數人:"駭客是單獨訓練的。這樣的任務不會交給像我們這樣的人,"他說。
儘管如此,仍然存在交叉。美國司法部和聯邦調查局警告說,朝鮮的IT工作者可能利用他們的訪問權限來攻擊他們的雇主,一些外洩的履歷表顯示在加密貨幣公司擁有經驗,而這是長期以來朝鮮駭客的目標行業之一。
虛假身份
Constella Intelligence,一家身份調查公司的數據顯示,其中一名工作者在美國、英國、日本、烏茲別克斯坦、西班牙、澳大利亞和紐西蘭擁有超過20個自由工作網站的帳戶。
該工作者未回覆電子郵件請求置評。
這些數據是從暗網的外洩資料中整理出來的,還揭示了一個網站的帳戶,該網站出售用於創建逼真的假身份文件的數字模板,包括美國駕照、簽證和護照,路透社發現。
Unit 42發現的文件包括14個身份的履歷表、一張偽造的美國綠卡、面試腳本,以及一些工作者購買合法在線個人資料的證據,以便顯得更真實。
在新加坡尋求遠程IT工作的"Richard"似乎參考了一個名為"Richard Lee"的偽造個人資料,這與綠卡上的名字相同。美國國土安全部未回覆置評請求。
路透社發現了一個LinkedIn帳戶,該帳戶上有一個相同的個人照片,並列出了在數字身份驗證公司Jumio的經驗的Richard Lee。
數據顯示,"我們沒有任何Richard Lee是Jumio的現任或前任員工的記錄,"一位Jumio發言人表示。"Jumio沒有任何證據表明該公司曾經有過朝鮮的員工。"
路透社向該LinkedIn帳戶發送信息請求置評,但未收到回應。LinkedIn在收到路透社的置評請求後刪除了該帳戶。
一位發言人表示:"我們的團隊使用各種來源的信息來檢測和刪除假帳戶,就像在這個案例中一樣。"
報導:詹姆斯·皮爾森 華盛頓的特德·赫森和達芙妮·普薩萊達基斯的補充報導 編輯:克里斯·桑德斯和安娜·德萊佛