Шахрайство з підробкою Laptop Farm для IT-працівників з Північної Кореї: американського спільника засудили до 7–9 років, за два роки вивели 2,8 млрд доларів США

Згідно з повідомленням Fortune від 4/25, уряд Північної Кореї протягом останніх двох років шляхом проникнення в американські та європейські компанії через віддалених IT-працівників отримав приблизно 2,8 млрд доларів США доходу, який було використано для підтримки програм розвитку ядерної зброї. При цьому Комітет багатостороннього нагляду за багатосторонніми санкціями при ООН оцінює, що щороку це стабільно приносить 250–600 млн доларів США. У межах цієї схеми нещодавно підряд потрапляють під варту й засуджуються «помічники в межах США», які працюють на її виконання, розкриваючи, що ключем до життєздатності такого шахрайства є змовницька мережа на території США.

DOJ: двоє підозрюваних громадян США засуджені до 7,5 та 9 років

Міністерство юстиції США 4/15–4/16 упродовж двох днів винесло вироки двом підозрюваним — мешканцям штату Нью-Джерсі: Kejia Wang і Zhenxing Wang — відповідно до 7,5 року та 9 років позбавлення волі. Їх звинувачують у тривалій організації «laptop farm» (буквально: «ферма ноутбуків»): розміщенні в межах США десятків робочих ноутбуків, виданих компаніями. Це давало реальним IT-працівникам, які перебувають у Північній Кореї, можливість через віддалене підключення керувати цими ноутбуками, змушуючи інструменти моніторингу IT на підприємствах помилково трактувати операції як такі, що здійснюються з території США.

Прокуратура зазначає, що в цій справі використовували щонайменше 80 викрадених посвідчень особи громадян США; постраждали понад 100 компаній, серед яких є компанії зі списку Fortune 500. Загальна сума у провадженні становить понад 5 млн доларів США, які уряд Північної Кореї отримав через цю діяльність, а також посередницьку винагороду, яку стягували на користь двох Wang.

Механізм роботи laptop farm

Ключова структура такого шахрайства не є складною: IT-працівники Північної Кореї (переважно розташовані в Ляоніні — Даньдуні, а також у Владивостоці, або через мережі прикордонної співпраці на ділянках Китай—Росія) подають заявки на віддалені посади в американських компаніях, використовуючи викрадені ідентичності громадян США. Коли їх наймають, компанія надсилає ноутбуки на «адресу, визначену працівником» — яка насправді є laptop farm, що експлуатується змовниками на території США. Змовники налаштовують ноутбуки в межах фіксованих IP та фіксованих часових поясів, і вони ж відповідальні за підключення/відключення живлення, роботу з доставками та пересилання фізичної пошти. Північнокорейські працівники входять у систему та керують ноутбуками через віддалені інструменти на кшталт RDP або anydesk. Код і результати роботи, які генеруються, компанія зазвичай приймає під час стандартної процедури приймання. А місячна зарплата надходить на рахунки в США, після чого змовники вилучають свою частку та переводять кошти у криптовалюті (здебільшого USDT).

Ця схема дозволяє на стороні компанії пройти всі три пункти комплаєнс-перевірки: «IP працівника в США», «серійний номер пристрою зареєстрований у США» та «часовий пояс для своєчасного початку/завершення робочого дня». Це був один із найважчих для виявлення внутрішніх ризиків для відділів безпеки компаній протягом останніх трьох років.

Сітка змовників у США — найслабша ланка в ланцюгу санкцій

Самій Північній Кореї не бракує людей із навичками програмування, але їй бракує партнерів, які «мають змогу володіти реальною інфраструктурою у західних правових юрисдикціях та документами, що підтверджують особу в США». Саме на цьому полягає ключовий акцент у матеріалі Fortune: американці активно допомагають Північній Кореї завершити цей шахрайський замкнений цикл. Тривалість вироків у справі Kejia Wang і Zhenxing Wang (7,5 та 9 років) є однією з найтриваліших серед усіх справ laptop farm, розглянутих наразі в межах США, що відображає те, що Міністерство юстиції розглядає подібні справи як подвійну загрозу: «обхід санкцій + національна безпека».

Ризики для криптовалютної індустрії

Ця схема має високу перетинність із криптовалютною індустрією: на стороні доходів Північної Кореї кошти в кінцевому підсумку зазвичай виводяться у вигляді USDT або інших стабільних монет. Саме тому Tether раніше багато разів виступала співініціатором заморожування USDT — і цей тип адрес входив до числа тих, кого заморожували. Раніше abmedia вже повідомляло про замороження Tether та OFAC USDT на Tron-ланцюгу на суму 344 млн доларів США, а також про справи, пов’язані з висуненням обвинувачень DOJ проти керівника підрозділу спеціальних військ Polymarket щодо інсайдерської торгівлі тощо. Це разом із даною laptop farm формує ескалацію правоохоронного переслідування проти мережевих злочинів державного рівня в США. Для криптовалютної індустрії це означає, що вимоги комплаєнсу та KYC продовжать посилюватися — особливо через підвищений тиск на моніторинг з боку емітентів стабільних монет щодо «аномально частих P2P-виводів» та «масових надходжень на концентровані адреси».

Для бізнес-сторони найпряміша відповідь виглядає так: підвищити рівень перевірки ідентичності для віддалених IT-працівників, зокрема проводити відеоспівбесіди (IT-працівники з Північної Кореї зазвичай просять письмове спілкування, щоб уникнути того, щоб їх бачили на фото/відео), відстежувати адреси доставки фізичних пристроїв, а також аналізувати довгострокові шаблони поведінки IP та часових поясів виконання робіт. У матеріалі Fortune наводяться оцінки консультантів з індустрії: наразі в межах США все ще працюють laptop farm, які не вдалося викрити, а кількість змовників значно більша, ніж у випадках, які вже були предметом обвинувачень.

Ця стаття «Шахрайство laptop farm від IT-працівників Північної Кореї: американському спільнику винесли вирок на 7–9 років, 2 роки — 2,8 млрд доларів США сукупного “прибутку”» вперше з’явилася на Сайті ланцюгових новин 鏈新聞 ABMedia.