朝鲜间谍渗透美国公司的新手段:应聘远程IT职位
Dustin Volz
3 minutes
网络安全公司KnowBe4今年7月为一个远程IT岗位招人时,录用了一名技术娴熟的应聘者,此人自称名叫Kyle,说英语带有口音。他要求该公司把分配给他的笔记本电脑寄送到华盛顿州的一个地址。
资金匮乏的朝鲜政府长期以来一直通过部署网络间谍窃取知识产权。但现在,平壤正迫使公司和政府机构应对一种新的内部威胁:朝鲜特工不仅入侵网络,还以远程工作者的身份悄然受雇。
美国官员和安全研究人员表示,近年来,朝鲜人利用新冠疫情后的远程办公热潮和生成式AI的进步,盗用外国人的身份,被聘用到数以百计、甚至可能数以千计的低级别IT工作岗位以及其他职位上。
据美国司法部称,这一计划每年给金正恩领导下基本对外隔绝的朝鲜政权带来数以亿美元计的收入,该政权借此逃避严格的国际制裁,为其核武器和弹道导弹计划持续提供资金。
Google Cloud旗下Mandiant网络威胁部门的分析师Michael Barnhart说,朝鲜的这种骗局似乎无所不在,让该部门的研究人员感到震惊。Barnhart说:“剥茧抽丝,我们意识到这些IT工作者无孔不入。”
朝鲜驻联合国外交代表团没有回应置评请求。
总部位于佛罗里达州克利尔沃特的KnowBe4的首席执行官Stu Sjouwerman说,该公司聘用Kyle时,一家第三方求职招聘网站上的信息显示,Kyle似乎精通该内部IT岗所需的技术语言。在通过Zoom进行的面试中,Kyle表现出了热切和诚实。
“他坦诚地谈论自己的长处和短处,谈论他还需要学习的东西,以及与职业道路有关的想法,” Sjouwerman接受采访时说。“这个人是一名专业的面试对象,没准儿已经接受过一百次这样的面试了。”
该公司表示,Kyle在自己的领英(LinkedIn)页面上发布了一张由AI生成的个人照片,其间用到了一张来自互联网的库存图片。
Kyle上班头一天就试图部署恶意软件,这触发了该公司的内部安全警报。该公司推断Kyle是冒名顶替者,并通知了美国联邦调查局(FBI),FBI对该计划进行追查,查到了华盛顿州的一处住所,那里有一个中间人协助实施相关欺诈行动。
一些公司称,过去两年里,查出的朝鲜求职者数量大增。
所有员工均远程办公的科技初创企业Cinder表示,从2023年初开始,收到了许多欺诈性申请。该公司表示,来自求职招聘网站的申请中约有80%被认为是朝鲜特工使用虚假身份提交的。
Cinder的工程主管Declan Cummings表示,一些应聘者出现在Zoom视频会议软件上进行远程面试,且看起来与他们在领英上的照片不太一样,于是他开始产生怀疑。Cummings说,这些应聘者经常带着浓重的口音。Cummings会说一口流利的韩语,还曾为“脱北者”做过志愿者方面的工作。
Cummings说,在一些情况下,应聘者会列出他们在Facebook海外办事处的工作经历,但Cummings知道Facebook的这些办事处并不存在。Cummings此前曾在Facebook母公司Meta Platforms工作过。他还说,在网上搜索这些求职者的姓名,也没有查到多少个人信息。
“你好,我很喜欢你们正在做的事情,”一名疑似朝鲜籍应聘者在发给Cinder的一封求职信中写道。“我很乐意用我强大的调试和解决问题的能力,成为公司的骨干。我可以身兼数职,适应一个快节奏的团队。”
Cummings曾在一次面试中提到,Cinder的联合创始人曾是美国中央情报局(Central Intelligence Agency, 简称CIA)的官员,这名应聘者听后挂断了电话。之后该公司再也没有收到过这位应聘者的任何消息。
“在这些人可能申请的所有公司中,他们偏偏申请了一家由前CIA人员和朝鲜问题专家经营的公司,”Cummings说。“我不认为我们是他们唯一的目标,但我们可能是唯一知道到这一点的公司。”
为了欺骗雇主,朝鲜经常利用在美国的中间人经营的“笔记本电脑农场”。这些中间人会安装远程桌面软件,让朝鲜人可以从海外登录企业的内部服务器,同时让人觉得他们人在美国。
美国联邦检察官上个月指控称,朝鲜政府每月向一名田纳西州的男子支付一笔费用,让他在他位于纳什维尔的家中接收和启动办公用的笔记本电脑,冒充IT工作者的朝鲜人利用这些笔记本电脑对多家美国媒体公司、一家位于波特兰的科技公司和一家英国金融机构实施了诈骗。
起诉书称,今年38岁的Matthew Knoot从名为Yang Di的朝鲜接头人那里得到承诺,每台笔记本电脑每月可获得500美元,外加20%的净利润。但Knoot实际所得要少得多,在13个月的时间里只拿到1.51万美元左右。Knoot做了无罪答辩,定于今年10月接受审判。他的律师没有回复记者的置评请求。
上述每家公司都认为自己雇佣了一名法庭文件中称为Andrew M.的美国公民。从2022年夏季到2023年夏季,每家公司都向这些朝鲜人支付了超过25万美元,这些朝鲜人还使用窃取的身份信息向美国国税局提交了虚假的报告。
有时这些朝鲜籍雇员确实会为这些公司提供IT协助,显然是为了获得薪水;这些薪水中至少一部分被朝鲜政府拿走。
这些网络特工利用他们对企业网络的访问权限窃取了知识产权,或悄悄打开了用以发动网络攻击的后门。
Google Cloud旗下的网络安全子公司Mandiant今年早些时候与多家私营部门安全合作伙伴分享了近800个疑似属于朝鲜IT工作者的电子邮件地址。Mandiant发现,在2月至8月期间,约有10%的账户被用于申请工作,与招聘人员进行了236次对话。
Mandiant的Michael Barnhart说,至少有五起案件的求职问询被发送给了美国和其他地方的关键基础设施组织。
检察官表示,今年5月,联邦检察官公布了一份起诉书,指控一名亚利桑那州女子和一名乌克兰男子参与了一个“笔记本电脑农场”网络,导致300多家美国公司在不知情的情况下雇佣了与朝鲜有联系的人。
检察官称,应聘者冒充了至少60名美国公民的身份,其中一些人同时在不同的公司工作,他们向平壤汇去了680万美元的海外收入。
据美国司法部称,受到影响的公司包括一家大型电视网络、一家硅谷科技公司、一家航空航天和国防公司、一家美国汽车制造商、一家奢侈品零售店和一家媒体娱乐公司。有人至少三次试图渗透美国政府机构,但没有成功。