מספר הולך וגדל של חברות טכנולוגיה מובילות בארה"ב שכרו עובדי טכנולוגיית מידע מרחוק, רק כדי לגלות שהעובדים הללו היו למעשה סוכני סייבר צפון קוריאניים. מטרתם? לפדות משכורות של טכנאים בכירים כדי להעביר מיליוני דולרים בחזרה לפיונגיאנג עבור תוכנית הנשק שלה. לדברי מומחי הסייבר המובילים בארה"ב, ההונאה נפוצה יותר ממה שהובן בעבר ופגעה לאחרונה בחברות רבות ברשימת Fortune 500. הבעיה מתודלקת על ידי פערי אבטחת מידע בארה"ב והעליה בעבודה מרחוק מאז מגיפת הקורונה.
ככל שסוכנים אלו מפתחים את שיטותיהם באמצעות כלי בינה מלאכותית מתוחכמים ושותפים אמריקאים, ממשיכים מרכזים חדשים להונאות סייבר אלו לצוץ ברחבי ארה"ב – לתסכולם של מנהלי אבטחת מידע ומנהלי טכנולוגיה ברחבי העולם התאגידי. בעוד שקשה לכמת כמה חברות היו מטרה להונאה זו, יותר ויותר אנשי היי טק בכירים מדברים על חוויותיהם, כאשר רשויות אכיפת החוק ממשיכות לפעול נגד מרגלי הסייבר הצפון קוריאנים ולשפוך אור על האופן שבו מתבצע המבצע באופן חשאי: "דיברתי עם הרבה מנהלי מערכות מידע (CISO) בחברות Fortune 500 וכמעט כל אחד שדיברתי איתו על בעיית עובדי ה- IT של צפון קוריאה הודה שהוא גייס לפחות עובד IT אחד מצפון קוריאה, אם לא תריסר או כמה עשרות", אמר צ'ארלס קרמקאל – מנהל הטכנולוגיה הראשי בחברת Mandiant של גוגל קלאוד.
חברת אבטחת הסייבר SentinelOne היא אחת החברות שפרסמו את הדיווח על היות חברות היי טק מטרה לריגול סייבר צפון קוריאני. בחודש שעבר היא פרסמה דו"ח שחשף כי קיבלה כ- 1,000 בקשות עבודה הקשורות לתוכנית עובדי ה- IT של צפון קוריאה. ברנדון ויילס – המנהל לשעבר של סוכנות אבטחת הסייבר והתשתיות וסגן נשיא אסטרטגיית אבטחת הסייבר ב- SentinelOne, אמר כי היקף ומהירות השימוש של ממשלת צפון קוריאה באסטרטגיה זו כדי לצבור מימון לתוכנית הנשק שלה – לא נראה כמותו בעבר.
לדברי מומחי סייבר התהליך עובד כך: סוכן צפון קוריאני ייצור פרופיל לינקדאין מזויף המתחזה למחפש עבודה אמריקאי, לעתים קרובות באמצעות מידע גנוב כמו כתובות ומספרי ביטוח לאומי מאדם אמיתי. לעתים קרובות הם יגישו בהמוניהם מועמדות למשרות בשכר גבוה או יצרו קשר עם מגייסים באמצעות זהות בדויה. לאחר שיגיעו לשלב הראיונות, הם ישתמשו בזיוף עמוק שנוצר על ידי בינה מלאכותית כדי להיראות ולהישמע כמו האדם שהם מנסים לחקות. לאחר גיוסם ישתמשו סוכנים צפון קוריאנים אלו בפרטי גישה גנובים כדי לעבור את תהליך הקליטה ולבקש מהמעסיקים לשלוח את מחשבי העבודה שלהם לכתובות בארה"ב – שלעתים קרובות הן "חוות" מחשבים ניידים עם עשרות מכשירים המופעלים על ידי אמריקאים המקבלים תשלום עבור הצטרפות לתוכנית. "במקרים מסוימים, יש להם 90 מחשבים ניידים כאלו מותקנים והם פשוט מחברים אותם לחשמל ומשאירים אותם דולקים", אמר אדם מאיירס – סגן נשיא בכיר בחברת אבטחת הסייבר CrowdStrike. הוא ציין כי צוותו עוקב אחר צמיחתם של סוכנים צפון קוריאנים החודרים לחברות אמריקאיות מאז 2022. CrowdStrike הציגה תוכנית למעקב אחר איומים פנימיים פוטנציאליים בארגונים שונים ובתוך השבוע הראשון מצאה 30 חברות שנפלו קורבן לתוכנית. מאמצים אלוה התגברו מתחילת 2024, ככל שטכנולוגיית הבינה המלאכותית התקדמה ומרגלים צפון קוריאנים הפכו מתוחכמים יותר בשיטותיהם.
על פי הודעת שפרסם ה- FBI, כל עובד יכול להרוויח בממוצע עד 300,000 דולר בשנה. "כסף זה הולך ישירות לתוכנית הנשק הצפון קוריאנית ולפעמים רואים את הכסף הזה הולך למשפחת קים", אמר מאיירס והדגיש: "אנחנו מדברים על עשרות מיליוני דולרים, אם לא מאות".
רשויות אכיפת החוק בהחלט שמות לב, אם כי מאמצי הסייבר הללו הפכו נפוצים יותר וקשים יותר לגילוי. בפברואר הודתה באשמה כריסטינה צ'פמן – אזרחית אמריקאית, לאחר שנעצרה בגין עבודה עם מרגלי סייבר צפון קוריאנים במשך שלוש שנים כדי לגנוב זהויות אמריקאיות ולנהל חוות מחשבים ניידים שנועדה לקיים את המבצע הצפון קוריאני. תוכנית זו לבדה יצרה לכאורה למעלה מ- 17 מיליון דולר, שהועברו לממשלת צפון קוריאה וכללה צפון קוריאנים שנשכרו ביותר מ- 300 חברות אמריקאיות. לעתים קרובות, פעילים אלו עובדים במספר עבודות בחברות שונות בו זמנית כדי למקסם את הכנסותיהם ולפתח עוד יותר את פרסונות ה- IT שלהם.
מרגלי סייבר צפון קוריאנים מרחיבים כעת את פעילותם מעבר לגבולות לארה"ב. מאיירס אמר ש- CrowdStrike עוקבת אחר תוכניות דומות של עובדי IT בבריטניה, פולין, רומניה ומדינות אירופאיות אחרות, בעוד שמומחי הסייבר מ- Recorded Future רואים את ההונאה בשימוש בארגונים שונים במדינות דרום אסיה. ובכל זאת, חלק מהחברות חוששות לחשוף שהן שכרו עובדים צפון קוריאנים עקב ההשלכות המשפטיות הפוטנציאליות של תשלום לסוכני ממשלה הנמצאת תחת סנקציות כלכליות כבדות. כמו כן, לעתים קרובות, חברות שהן מטרה לתוכנית – שותקות מתוך בושה. ויילס אמר ש- SentinelOne הייתה גלויה לגבי ניסיונה, בין היתר משום ש"אנחנו לא רוצים שתהיה סטיגמה לדבר על זה." לדבריו: "חשוב מאוד שכולם יהיו פתוחים וכנים, כי זו הדרך הטובה ביותר להתמודד עם התופעה."
