Hoogopgeleide software- en mobiele app-ontwikkelaars uit de Democratische Volksrepubliek Korea (DVK) doen zich voor als “niet-DVK-onderdanen” in de hoop freelancewerk te vinden in een poging de kwaadaardige cyberaanvallen van het regime mogelijk te maken.
Dat is volgens a gezamenlijke advisering Dat heeft het Amerikaanse ministerie van Buitenlandse Zaken, het ministerie van Financiën en het Federal Bureau of Investigation (FBI) maandag bekendgemaakt.
De doelen zijn onder meer financiële, gezondheids-, sociale media-, sport-, entertainment- en lifestyle-gerichte bedrijven in Noord-Amerika, Europa en Oost-Azië, met de meeste uitgezonden werknemers in China, Rusland, Afrika en Zuidoost-Azië.
Het doel, waarschuwen de Amerikaanse agentschappen, is om een constante stroom van inkomsten te genereren die internationale sancties die aan het land zijn opgelegd omzeilt en helpt bij het dienen van zijn economische en veiligheidsprioriteiten, inclusief de ontwikkeling van nucleaire en ballistische raketten.
“De Noord-Koreaanse regering houdt tot 90 procent van de lonen van overzeese arbeiders in, wat de regering een jaarlijkse inkomsten van honderden miljoenen dollars oplevert”, aldus het advies.
Enkele van de kerngebieden waar IT-medewerkers van Noord-Korea zich mee bezig hebben gehouden, zijn softwareontwikkeling; cryptoplatforms; grafische animatie; online gokken; mobiele spellen; dating-, AI- en VR-apps; ontwikkeling van hardware en firmware; biometrische herkenningssoftware; en databasebeheer.
Het is ook bekend dat IT-medewerkers van Noord-Korea projecten aannemen waarbij virtuele valuta betrokken zijn, wat de aanhoudende belangstelling van het land voor de technologie en de geschiedenis van gerichte aanvallen op de financiële sector weerspiegelt.
Bovendien zouden ze misbruik maken van de bevoorrechte toegang die ze hebben gekregen als contractanten om logistieke ondersteuning te bieden aan door de Noord-Koreaanse staat gesponsorde groepen, toegang tot virtuele infrastructuur te delen, de verkoop van gestolen gegevens te vergemakkelijken en te helpen bij het witwassen van geld en het overmaken van virtuele valuta.
Naast het opzettelijk verdoezelen van hun identiteit, locaties en nationaliteit online door VPN’s te gebruiken en zichzelf verkeerd voor te stellen als Zuid-Koreaanse burgers, zijn mogelijke rode vlaggen die wijzen op de betrokkenheid van Noord-Koreaanse IT-medewerkers als volgt:
- Meerdere aanmeldingen in één account vanaf verschillende IP-adressen in korte tijd
- Inloggen op meerdere accounts op hetzelfde platform vanaf één IP-adres
- Een of meer dagen achtereen continu ingelogd op accounts
- Gebruik van poorten zoals 3389 die zijn gekoppeld aan software voor het delen van bureaublad op afstand
- Het gebruik van malafide klantaccounts op freelance werkplatforms om de beoordelingen van ontwikkelaarsaccounts te verbeteren
- Meerdere ontwikkelaarsaccounts ontvangen in korte tijd hoge beoordelingen van één klantaccount
- Frequente geldoverdrachten via betalingsplatforms naar Chinese bankrekeningen, en
- Betaling in virtuele valuta zoeken
In één geval dat in het advies naar voren kwam, voerden Noord-Koreaanse ontwikkelaars die voor een niet nader genoemd Amerikaans bedrijf werkten in de loop van enkele maanden een ongeoorloofde diefstal uit van meer dan $ 50.000 in 30 kleine termijnen zonder medeweten van het bedrijf.
“Het inhuren of ondersteunen van de activiteiten van IT-medewerkers uit de DVK brengt veel risico’s met zich mee, variërend van diefstal van intellectueel eigendom, gegevens en fondsen tot schade aan de reputatie en juridische gevolgen, waaronder sancties door zowel de autoriteiten van de Verenigde Staten als de Verenigde Naties”, aldus het Amerikaanse ministerie van Buitenlandse Zaken.
Het advies komt ook omdat de afdeling vorige maand een beloning van $ 5 miljoen aankondigde voor informatie die leidt tot de verstoring van de diefstal van cryptocurrency, cyberspionage en andere illegale activiteiten van natiestaten in Noord-Korea.
