Google: Північнокорейські програмісти маскуються під українців і поширюють шпигунську діяльність у Європі

Масштаби й географічне охоплення діяльності IT-фахівців з Північної Кореї зростають. Вони видають себе за звичайних програмістів, зокрема з України, щоб проникати в компанії як віддалені працівники й генерувати прибуток для свого режиму. Це також загрожує організаціям, які наймають таких співробітників, адже становить ризики шпигунства, крадіжки даних і збоїв у роботі, йдеться у звіті Google.

З метою працевлаштування ці програмісти також вдавали із себе громадян Італії, Японії, Малайзії, Сінгапуру, США і В’єтнаму, комбінуючи справжні дані про себе з фальшивими.

Група з вивчення кіберзагроз Google (GTIG) у співпраці з партнерами зафіксувала зростання активності цих програмістів у Європі, що підтверджує, що під загрозою не лише США. Розвиваються також і тактики, зокрема активізувалися спроби шантажу, а для операцій тепер використовується віртуальна інфраструктура компаній.

Активність цих фахівців у багатьох країнах вказує на те, що загроза від них є глобальною. Попри те що основною мішенню залишаються США, протягом останніх місяців північнокорейським програмістам було складно отримувати й зберігати робочі місця в Америці, ймовірно через зростання обізнаності про загрозу, обвинувальні акти мін'юсту США і проблеми з перевірками прав на працевлаштування. Це спонукало північнокорейських фахівців до експансії своєї діяльності, особливо в Європі.

Зокрема, наприкінці 2024 року один програміст із КНДР діяв під щонайменше 12 псевдонімами в Європі й США, націлюючись на оборонні підприємства й державні структури. Він надавав фальшиві рекомендації від попередніх роботодавців, домагався довіри рекрутерів і використовував свої інші вигадані особи для підтвердження своєї “легітимності”.

Розслідування виявили більше осіб, які намагалися працевлаштуватися в Німеччині й Португалії, а також мали доступ до акаунтів на європейських сайтах для пошуку роботи й платформах з управління персоналом.

З осені 2024 року GTIG зафіксувала активізацію спроб шантажу: зловмисники погрожували розкрити конфіденційні дані колишніх роботодавців або передати їх конкурентам. У деяких випадках ішлося про вихідний код і внутрішні розробки.

Це може бути реакцією на посилення тиску з боку американських правоохоронців.

Через політику BYOD (Bring Your Own Device, “приносьте власні пристрої”) співробітники можуть під'єднуватися до систем компаній зі своїх пристроїв, які не мають корпоративного рівня захисту. Це ускладнює відстеження дій працівників і створює сприятливе середовище для шпигунства.

Із січня 2025 року IT-фахівці з КНДР активніше користаються з цієї політики для своїх атак.

Як повідомляв ІМІ, група хакерів, пов’язана з режимом Північної Кореї, завантажила шпигунське програмне забезпечення (ПЗ) для Android у магазин Google Play. Хакери змогли обманом змусити деяких користувачів завантажити його.