成千上万的北朝鲜 IT 工作者已经渗透到 Fortune 500 企业中,并且他们持续获得更多工作机会。

Harrison Leggio 估计,他的加密货币初创公司 g8keep 在招聘职位发布后收到的简历中,大约 95% 来自冒充美国人的北朝鲜工程师。他甚至有一次面试了一个求职者,该求职者声称曾在与他同一家位于曼哈顿的加密货币交易所工作过,而且就在他工作期间。

事实证明这一切都是骗局:这位工程师说该公司使用的编程语言是不正确的,而且他声称自己在各个团队之间轮换,而不是固定在一个团队中,而“那里根本没有这种情况”,Leggio 说。

如今,Leggio 告诉 Fortune,除非候选人同意最后一步,否则他甚至不会安排与纸面上看起来很有希望的候选人进行面试。

“说一些关于 Kim Jong Un 的负面评价,”Leggio 告诉潜在的求职者,指的是北朝鲜的第三代独裁最高领导人,官方名称为朝鲜民主主义人民共和国 (DPRK)。通过研究,Leggio 了解到,侮辱朝鲜民主主义人民共和国的最高领导人是被禁止的,北朝鲜公民如果表现出任何不敬,可能会面临严厉的惩罚。

“我第一次这样做的时候,那个人开始惊慌失措并咒骂,”Leggio 说。

这位求职者随后在所有社交媒体平台上屏蔽了 Leggio。现在 Leggio 在每次面试前都会提出同样的要求。他说,他认识的其他初创公司和创始人也在向求职者提出同样的要求。

游艇与导弹

联合国估计,自 2018 年以来,北朝鲜 IT 工作人员的诈骗每年产生 2.5 亿美元至 6 亿美元。因此,各种网络安全专家联合起来分享信息,内容涉及策略、个人资料、VPN 和需要注意的迹象。但是 AI 助长了北朝鲜的计划,使 IT 工作人员能够开发脚本,以便他们可以同时从事多达六到七个工作,伪装自己的外貌,甚至改变自己的声音,这样他们就不会带有口音——或者听起来像个女人而不是男人。专家预测,2025 年的范围和规模将扩大,通过精湛的社交工程策略,以及在欧洲国防和政府公司更积极地寻找工作,从而扩展到欧洲和亚洲。

Google Cloud 的情报负责人 Michael Barnhart 多年来一直在追踪北朝鲜的威胁,他这样解释这个计划:部署在中国和俄罗斯的北朝鲜工程师使用 AI 创建简历,并突出显示引人注目的公司经验。他们组成团队大规模申请工作,使用被盗的美国身份,或者在美国或国外的协助者的帮助下进行。一些 IT 工作人员甚至创建了幌子公司,例如冒充合法的招聘公司或网页设计机构,然后更大的 Fortune 500 公司会雇用这些公司——但没有意识到这是一个北朝鲜的幌子,Barnhart 说。

“现在,我们的北朝鲜 IT 工作人员正在进行如此多的调整,以至于他们甚至不再从事 IT 工作了,”他告诉 Fortune

在全球公司中,安全团队已经实施了不同的系统和策略,以找出寻求工作的北朝鲜 IT 工作人员以及已经在公司工作并受雇的那些人,Barnhart 说。而且风险再怎么强调也不为过。联邦调查局报告说,这些资金用于核武器和行动,而 IT 工作人员非法从公司窃取的情报和数据则用于敲诈勒索、间谍活动和数据盗窃。

“有些罪犯偷你的钱是为了买游艇,但在这种情况下,你的钱不是用来买 Lamborghini,而是用来资助核弹药,”Barnhart 说。“游艇与导弹——归因很重要。”

2024 年发生 300 多起事件

身份验证公司 Hypr 的 CEO Bojan Simic 告诉 Fortune,由于北朝鲜的威胁,他专门为公司构建了一种产品来验证人们的身份。作为一名科技创始人,他还在自己的公司内部处理这个问题。Simic 不小心雇用了一名工程师,他在面试中表现出色,但是第一天来报到的人不是他雇用的人。Simic 说,这位工程师也没有通过地理位置检查,并且当他声称住在波兰时,他似乎位于西班牙。

Gartner 的高级首席分析师 Emi Chiba 一直在研究这个问题,她告诉 Fortune,安全专家应该与内部人力资源团队合作,定期重新验证员工的身份并加强招聘实践。目标是确保求职者没有隐瞒他们在海外的地点,并且假装位于美国。这些做法包括摄像头开启的视频面试,以及使用具有地理位置功能的身份验证工具,将政府 ID 与自拍照进行比较,这将有助于将人们与其身份和位置进行匹配,她说。

“你可以做的对抗这种情况的最大的一件事就是培训人力资源人员,”Barnhart 补充道。

尽管做出了破坏它的努力,但网络安全公司 CrowdStrike 报告称,北朝鲜 IT 工作人员(该公司称之为 Famous Chollima)在 2024 年制造了 304 起事件,并且其活动在下半年有所增加。在其最新的评估中,CrowdStrike 预测 Famous Chollima 将在 2025 年继续其活动,因为它看到了经济上的成功,并且去年联邦起诉和政府起诉的影响有限。

CrowdStrike 对抗对手团队的高级副总裁 Adam Meyers 告诉 Fortune,Famous Chollima 有两个主要的触角。一个是一个恶意软件操作,专注于情报收集和 加密货币盗窃,例如从迪拜交易所盗窃的 15 亿美元加密货币。另一个是 IT 工作人员的诈骗,北朝鲜工程师获得合法工作,并将他们的薪水汇回北朝鲜,以资助核武器、行动和贸易。这两个方面也协同工作以共享情报。

在 IT 工作人员计划中,一旦有人参与面试,北朝鲜人就会使用远程桌面工具来帮助指导人们完成与招聘人员的问答。

Farnsworth Intelligence 的创始人 Aidan Raney 伪装成愿意帮助北朝鲜人的美国人,为一个几乎雇佣了一个假工程师的客户调查这个问题。在与三到四个都说自己名叫“Ben”的人进行了两次视频通话后,Raney 了解了细节。“The Bens”会为他处理所有前期工作——创建一个虚假的 LinkedIn 个人资料,以验证他为美国招聘人员提供的新身份,制定一份简历,并使用他们设置的新 Gmail 地址将其发送到数十个职位发布。

Raney 告诉 Fortune,“The Bens”甚至将 Raney 的头像修改为黑白照片,这样它就不会像他通常的照片。“如果 Raney 找到一份工作,他会参加会议,比如早上的站立会议或 scrum,并开始他的一天,而北朝鲜工程师则负责工作量。Raney 将被允许保留 30% 的薪水,但必须使用加密货币、Paypal 或 Payoneer 将 70% 转给“The Bens”。

“他们试图做的是使用我的身份来绕过背景调查,所以他们希望他们创建的这个虚假角色与现实生活中的版本非常接近,”Raney 说。

“The Bens”为 Raney 安排了一次面试,在面试过程中,他们使用远程桌面应用程序在 Raney 的屏幕上设置了一个记事本,以便他们可以写下对面试官问题的回答,Raney 解释说。它奏效了:Raney 获得了一份私人政府承包商的工作口头offer,年薪 80,000 美元。

然后他不得不立即转身告诉该公司他不能接受 offer,并为占用他们的时间道歉。

“现在他们使用的是拥有经过验证的身份和文件的真正的美国人,并且他们使用的是他们的真实面孔——一切看起来都是真实的,”Raney 说。“没有什么能阻止他们被雇用。”

在过去的两年中,司法部 起诉了该计划中的数十名北朝鲜公民和未具名的同谋,指控他们窃取美国身份、阴谋违反美国制裁、电信欺诈和洗钱。联邦调查局的网络犯罪 通缉名单 包括至少 14 名当局正在搜寻的北朝鲜 IT 工作人员,国务院宣布为提供有关参与者信息的最高 500 万美元的奖励

相关地,纳什维尔的一名男子被捕,亚利桑那州的一名女子承认经营“笔记本电脑农场”是该计划的一部分。当局称,笔记本电脑农场经营者与北朝鲜团伙合作,以每月支付费用的方式,在他们家中保留从美国各家公司运来的笔记本电脑,以换取接受这些设备并安装远程桌面软件,以便 IT 工作人员可以在美国境外工作。

法庭文件显示,在亚利桑那州的案件中,凤凰城郊外的一名 49 岁的妇女帮助北朝鲜同谋在 Fortune 500 银行、一家电视网络、航空航天制造商、汽车制造商和一家 Silicon Valley 科技公司找到了工作。她使用 60 个被盗身份帮助 IT 工作人员在 300 家公司找到了工作,这些公司为他们的工作支付了数百万美元。

“一位居住在凤凰城郊外过着平静生活的女性据称如此纠缠于这样的事情清楚地表明我们的对手变得越来越复杂和隐秘,因此企业和公民对他们的网络活动保持高度警惕至关重要,”联邦调查局凤凰城外地办事处的特工 Akil Davis 去年说。

Gartner 的 Chiba 说,最终,公司必须做的不仅仅是将笔记本电脑运送给远程工作人员。

“它让我想起了试图进入一家俱乐部;保镖在你和你的身份证之间来回查看,看看是不是你,并且是否有正确的照片,”Chiba 说。“如果身份证只检查一次,并且这是唯一的缓解策略,那么可能不足以抓住某人。”

Payoneer 在一份声明中告诉 Fortune,它通过强大的合规系统积极致力于打击其平台上的欺诈和金融犯罪,并且它与监管机构和执法部门密切合作。

这个故事最初出现在 Fortune.com