摘要：“我与财富 500 强公司的很多 CISO 交谈过，几乎每一个与我谈论过朝鲜 IT 工人问题的人都承认，他们至少雇佣了一名朝鲜 IT 工人，如果不是十几名或几十名，”谷歌云 Mandiant 的首席技术官查尔斯·卡马卡尔 （Charles Carmakal）

越来越多的韩国顶级科技公司雇佣了远程信息技术工作者，却发现这些员工实际上是朝鲜的网络特工。

他们的目标是什么？从顶尖的技术工资中获利，将数百万美元回流给平壤用于其武器项目。

据美国顶级网络专家称，该骗局比以前理解的更广泛，最近袭击了许多财富 500 强公司。美国缺乏信息安全人才以及自大流行以来远程工作的兴起加剧了这个问题。

随着这些特工使用复杂的 AI 工具和美国同伙发展他们的方法，这些骗局的新中心不断在美国各地出现，这让整个企业界的首席信息安全官和技术高管感到沮丧。

虽然很难量化有多少公司成为这场大规模骗局的目标，但随着执法部门继续打击并揭露专家行动是如何秘密进行的，越来越多的科技领导者正在谈论他们的经历。

“我与财富 500 强公司的很多 CISO 交谈过，几乎每一个与我谈论过朝鲜 IT 工人问题的人都承认，他们至少雇佣了一名朝鲜 IT 工人，如果不是十几名或几十名，”谷歌云 Mandiant 的首席技术官查尔斯·卡马卡尔 （Charles Carmakal） 在最近的一次媒体发布会上说。

在对网络领域顶级安全专家的近十次采访中，这个多产的计划被认为是一个主要威胁，许多人承认他们的公司已成为受害者，并且正在努力阻止传播。谷歌云 CISO 伊恩·穆赫兰 （Iain Mulholland） 在同一场媒体发布会上表示，谷歌已经看到朝鲜 IT 员工“在我们的管道中”，但拒绝具体说明这是否意味着申请人在筛选过程中被发现，还是实际上已被录用。

网络安全公司 SentinelOne 是公开成为该计划目标的公司之一。上个月，它发布的一份报告显示，它收到了大约 1,000 份与朝鲜 IT 工人计划相关的工作申请。网络安全和基础设施安全局（Cybersecurity and Infrastructure Security Agency）前执行主任、SentinelOne现任网络安全战略副总裁布兰登·威尔士（Brandon Wales）表示，朝鲜政府利用这一策略为其武器计划筹集资金的“规模和速度”是前所未有的。

据专家称，情节往往遵循类似的剧本：一名朝鲜特工会创建一个假冒美国求职者的虚假 LinkedIn 个人资料，通常使用从真人那里窃取的信息，例如地址和社会安全号码。他们通常会集体申请高薪工作或使用假身份与招聘人员取得联系。一旦他们进入面试阶段，他们将使用 AI 生成的深度伪造来看起来和听起来像他们试图冒充的人，通常是实时的。

“全国各地都有从事软件开发工作的人，他们的角色被使用，”网络公司 Recorded Future 的威胁情报分析师 Alexander Leslie 说。“他们的个人身份信息被盗了——社会安全记录、护照信息、身份证信息。”

被录用后，这些朝鲜特工将使用窃取的凭证来完成入职流程，并要求雇主将他们的工作笔记本电脑寄到美国的前台地址——这些地址通常是笔记本电脑“农场”，里面有数十台设备，由少数付费加入该计划的美国个人运行。

“在某些情况下，他们设置了 90 台这样的笔记本电脑，他们只是将它们插上电源，让它们保持开机，”网络安全公司 CrowdStrike 的反对手运营高级副总裁 Adam Meyers 说。

他指出，自 2022 年以来，他的团队一直在追踪渗透到美国公司的朝鲜特工的增长情况。CrowdStrike 推出了一项计划来跟踪各种组织的潜在内部威胁，并在第一周内发现了 30 家公司成为该计划的受害者。自 2024 年初以来，随着人工智能技术的进步和朝鲜间谍方法的日益复杂，这些努力加大了力度。

根据联邦调查局、国务院和财政部发布的一份公告，每位工人平均每年可赚取高达 300,000 美元。

“这笔钱直接用于武器计划，有时你会看到这笔钱流向了金氏家族，”迈耶斯补充道。“我们谈论的是数千万美元，如果不是几亿美元的话。”

执法机构当然正在关注，尽管这些网络活动已经变得越来越普遍且更难被发现。今年 2 月，美国公民克里斯蒂娜·查普曼 （Christina Chapman） 因与朝鲜特工合作三年窃取美国身份并经营笔记本电脑农场以维持运营而被捕后认罪。

据称，仅这个特定的计划就产生了超过 1700 万美元的收入，这些资金被输送到朝鲜政府，并涉及 300 多家美国公司雇用的朝鲜人。通常，这些作员同时在不同公司从事多项工作，以最大限度地提高他们的收入并进一步发展他们的 IT 角色。

“我们很难说有多少人实际在作这些角色，但在数千个独特的角色中，”Microsoft 高级威胁分析师 Greg Schloemer 说。“所以它很大，无处不在。”

美国司法部（Justice Department）于1月宣布对两名美国人提起诉讼，指控他们帮助开展了一项为期六年的单独诈骗行动，该行动使朝鲜科技人员能够为60多家美国公司工作，并产生超过80万美元的收入。

联邦调查局特工伊丽莎白·佩尔克 （Elizabeth Pelker） 最近在旧金山举行的 RSA 会议的小组讨论中表示，当雇用一名骗子时，他们可以为其他特工提供参考。一些公司报告称，他们的工资单上有多达 10 名骗子冒充 IT 员工。

这些欺诈者还找到了在被发现并被解雇很久之后继续勒索这些科技公司的方法。一旦进入公司网络，他们通常会植入恶意软件以访问敏感的公司数据或情报，迫使公司支付巨额赎金。

“这是非常适应性的，”佩尔克说。“即使 [黑客] 知道他们会在某个时候被解雇，他们也有一个退出策略让他们仍然......获得某种金钱收益。

虽然联邦政府为阻止这些大规模计划所做的努力取得了一些成功，但专家表示，起诉笔记本电脑农场运营商是敲除骗子神经中枢的关键。

“如果 FBI 去敲那扇门，把那个人戴上手铐，拿走所有的笔记本电脑，他们就会失去 10 到 15 个工作，他们也失去了一个已经投入了这种关系的人，”Schloemer 说。“所以，是的，在某些方面，这只是杯水车薪，但实际上对演员来说，这代价相当高。”

Meyers 表示，CrowdStrike 正在追踪英国、波兰、罗马尼亚和其他欧洲国家的类似 IT 员工计划，而 Leslie 表示，Recorded Future 看到该骗局正在南亚国家的各个组织中使用。

尽管如此，一些公司仍不敢透露他们雇用了朝鲜工人，因为向受到严重经济制裁的政府代理人付款可能会带来潜在的法律后果。莱斯利说，从朝鲜雇佣一名工人，即使是在不知情的情况下，也会使公司面临重大的合规风险。

“那个朝鲜 IT 工作人员可以访问你的整个 Web 开发软件主机，以及你一直在收集的所有资产。然后那个工人被你付钱，流回朝鲜政府，同时进行间谍活动，“莱斯利说。“它带来了重大的财务和合规风险。”

通常，该计划针对的公司出于羞耻而保持沉默。威尔士表示，SentinelOne 一直对其经历持开放态度，部分原因是“我们不希望谈论这件事会让人感到耻辱”。

“每个人都开诚布公非常重要，因为考虑到我们面临的规模，这就是我们处理这个问题的方式，”威尔士说。

来源：当代生命哲学家一点号