Угроза от северокорейских IT-специалистов: как государственная афера проникает в компании из списка Fortune 500 (RU)

Практически каждая компания из списка Fortune 500 в Америке неосознанно наняла северокорейского IT-специалиста. Это не предположение. Это оценка разведывательных служб и исследователей в области кибербезопасности, отслеживающих крупнейшую в истории операцию мошенничества, организованную государством.

По оценкам, 100 000 северокорейских IT-специалистов развернуты по всему миру, генерируя более 500 миллионов долларов в год для оружейных программ Пхеньяна. Они используют украденные американские личные данные, фотографии, улучшенные с помощью искусственного интеллекта, VPN-инфраструктуру и сети внутренних посредников, чтобы проходить собеседования, проходить проверки биографических данных и получать зарплату в компаниях, которые даже не подозревают, на кого они на самом деле работают.

В 2025 году CrowdStrike сообщила о 220% росте попыток проникновения северокорейских IT-специалистов и расследовала более 320 инцидентов среди своих клиентов. ФБР опубликовало официальное предупреждение. Министерство юстиции предъявило обвинения 14 северокорейским гражданам. А OFAC расширил санкции против сетей северокорейских IT-специалистов еще в марте 2026 года.

Это не будущая угроза. Это активная, масштабная, промышленная операция, и традиционные процессы найма принципиально не способны ее остановить.

Как работает схема

Операция с участием северокорейских IT-специалистов сложна именно потому, что она использует предположения о доверии, заложенные в современный удаленный найм. Вот как обычно происходит проникновение.

Шаг 1: Получение личных данных

Северокорейские агенты получают украденные американские личные данные — номера социального страхования, водительские права и личные данные, приобретенные в результате утечек данных или полученные с помощью социальной инженерии. В некоторых случаях они привлекают или принуждают базирующихся в США посредников, которые предоставляют свои собственные личные данные или доступ к документам, удостоверяющим личность.

Шаг 2: Персоны, улучшенные с помощью искусственного интеллекта

Используя украденную личность в качестве основы, агенты создают убедительные профессиональные профили. Фотографии создаются или улучшаются с помощью инструментов искусственного интеллекта — часто начиная со стоковых фотографий и изменяя их в соответствии с демографическим профилем украденной личности. Создаются профили LinkedIn, аккаунты GitHub и профессиональные портфолио для поддержки истории.

Шаг 3: Процесс собеседования

Фактические видеоинтервью проводит другой агент — часто базирующийся в Китае, России или Юго-Восточной Азии. Они обучены, компетентны в техническом отношении и подготовлены. В некоторых случаях несколько членов команды сотрудничают во время одного собеседования: один человек виден на камере, а другие в режиме реального времени предоставляют ответы.

Шаг 4: «Лаборатория» ноутбуков

После приема на работу компания отправляет ноутбук по адресу в США. Но этот адрес принадлежит посреднику, который управляет тем, что ФБР называет «лабораторией» ноутбуков — местом, где находится десятки устройств, выданных компанией. Посредник устанавливает программное обеспечение удаленного доступа, позволяя фактическому северокорейскому работнику подключаться из-за границы, при этом создается впечатление, что он работает с IP-адреса США.

Шаг 5: Извлечение доходов

Северокорейский работник выполняет работу — часто достаточно компетентно, чтобы не вызывать подозрений — в то время как его зарплата переводится по цепочке банковских счетов, криптокошельков и услуг денежных переводов обратно в Пхеньян. Значительная часть этих средств напрямую поддерживает баллистические ракетные и ядерные программы Северной Кореи.

KnowBe4: когда компания, занимающаяся безопасностью, попадает впросак

Если вы думаете, что ваш процесс найма безопасен, подумайте о том, что произошло с KnowBe4 — одной из ведущих в мире компаний, занимающихся обучением осведомленности о безопасности.

В июле 2024 года KnowBe4 наняла удаленного разработчика программного обеспечения для своей внутренней команды искусственного интеллекта. Кандидат прошел через их стандартный процесс найма: проверка резюме, несколько видеоинтервью, проверка биографических данных и проверка рекомендаций. Все было в порядке.

Кандидат использовал украденные американские личные данные в сочетании с фотографией из стокового фото, улучшенной с помощью искусственного интеллекта, которая оказалась достаточно убедительной, чтобы пройти видеоинтервью без вызова подозрений. Созданный образ был технически подкованным и профессионально отполированным.

KnowBe4 отправила ноутбук компании новому сотруднику. В течение нескольких минут после его получения агент начал загружать вредоносное программное обеспечение — инструменты для перехвата учетных данных, трояны удаленного доступа и утилиты для кражи данных. Активность была отмечена центром кибербезопасности KnowBe4 в 22:55 по восточному времени, и устройство было немедленно изолировано.

Данные не были потеряны. Системы не были скомпрометированы за пределами одного ноутбука. Но последствия были ошеломляющими: компания, чей основной бизнес — это повышение осведомленности о безопасности, подверглась социальной инженерии через свой собственный процесс найма.

Генеральный директор KnowBe4, Стью Сжуверман, принял необычное решение публично раскрыть инцидент. «Если это может случиться с нами, — написал он, — это может случиться почти с кем угодно».

Он был прав. Это уже произошло — сотни раз.

Сеть «лабораторий» ноутбуков

В феврале 2025 года Кристина Чапман, гражданка США, проживающая в Аризоне, признала себя виновной в мошенничестве с использованием электронных средств связи, отягчающем хищении личности и сговоре с целью отмывания денег. Ее преступление: управление одной из самых масштабных сетей «лабораторий» ноутбуков, поддерживающих северокорейских IT-специалистов.

Операция Чапман была промышленного масштаба. Она размещала ноутбуки, выданные компанией, у себя дома и в других местах, управляя удаленным доступом для северокорейских агентов, подключающихся из-за границы. Схема затронула более 300 американских компаний и принесла правительству Северной Кореи более 17 миллионов долларов доходов.

Роль Чапман заключалась в том, чтобы быть посредником — она получала оборудование, поддерживала VPN и подключения удаленного рабочего стола и помогала перемещать деньги. Она была одним узлом в распределенной сети американских пособников, которые сделали всю операцию возможной.

Министерство юстиции активно привлекает к ответственности эти сети. В 2024 году федеральное большое жюри обвинило 14 северокорейских граждан в получении 88 миллионов долларов за счет мошеннического удаленного трудоустройства, что сделало это одним из крупнейших обвинений в мошенничестве, связанных с иностранным правительством.

Но на каждую демонтированную сеть, разведывательное сообщество полагает, что в эксплуатации остается еще несколько. Экономика просто слишком привлекательна для Пхеньяна, чтобы от нее отказаться: зарплаты IT-специалистов в американском технологическом секторе обеспечивают более высокую отдачу на оперативника, чем любой другой метод получения доходов, доступный режиму, страдающему от санкций.

Почему традиционные процессы найма терпят неудачу

Схема с участием северокорейских IT-специалистов преуспевает, потому что она атакует каждое предположение в стандартном рабочем процессе удаленного найма:

Проверки биографических данных подтверждают данные, а не личность. Проверка биографических данных подтверждает, что номер социального страхования, имя и дата рождения соответствуют реальному человеку с чистой репутацией. Она не подтверждает, что человек, сидящий перед камерой, — это тот человек. Когда базовая личность украдена у настоящего гражданина США, проверка биографических данных возвращает чистые результаты — потому что сама личность законна.

Видеоинтервью подтверждают присутствие, а не личность. Менеджер по найму во время видеозвонка видит лицо и слышит голос. Он не может подтвердить, что лицо соответствует удостоверению личности, выданному государством, что изображение не создано искусственным интеллектом или что человек на камере — это тот же человек, который будет входить в корпоративные системы в следующий понедельник.

Проверки рекомендаций легко подделать. Северокорейские операции поддерживают сети соучастников, которые выступают в качестве профессиональных рекомендаций. Они отвечают на звонки, подтверждают даты трудоустройства и хвалят кандидата за его работу. Некоторые рекомендации — это реальные люди, которые были скомпрометированы; другие — полностью вымышленные личности.

Проверки местоположения на основе IP-адреса тривиально обходят. VPN, прокси-серверы и сама инфраструктура «лаборатории» ноутбуков обеспечивают, чтобы сетевой трафик исходил с жилого адреса в США. Стандартный ИТ-мониторинг видит внутренний IP-адрес и переходит к следующему шагу.

В результате получается процесс найма, который структурно не способен обнаружить хорошо финансируемую, спонсируемую государством операцию по мошенничеству с использованием личных данных. Каждый отдельный шаг можно нейтрализовать по отдельности. И поскольку ни один шаг не перекрестно проверяется с другими, вся цепочка молча терпит неудачу.

Регуляторный ответ

Правительство США признало масштаб угрозы и реагирует с участием нескольких ведомств:

Предупреждение ФБР IC3 (июль 2025 г.): Центр интернет-преступлений ФБР опубликовал официальное предупреждение, предостерегающее американские предприятия о схемах с участием северокорейских IT-специалистов, предоставляя индикаторы компрометации и красные флаги для менеджеров по найму. В предупреждении специально подчеркивается использование изображений, созданных с помощью искусственного интеллекта, и технологии дипфейков в процессе собеседования.

Санкции OFAC (март 2026 г.): Управление по контролю за иностранными активами расширило свои санкции, включив в них дополнительные сети северокорейских IT-специалистов, подставные компании и посредников. Компании, которые невольно выплачивают зарплату лицам, находящимся под санкциями, сталкиваются с потенциальными нарушениями санкций — что добавляет значительный юридический и финансовый риск к проблеме безопасности.

Обвинения DOJ: Министерство юстиции преследует по закону как северокорейских агентов, так и их американских пособников. Обвинение 14 человек в 2024 году и признание вины Чапман в 2025 году сигнализируют о правоохранительной позиции, которая рассматривает содействие как серьезное преступление, как и само мошенничество.

Интеллектуальные данные CrowdStrike: Частный сектор поставлял важные данные. Расследование CrowdStrike по более чем 320 инцидентам предоставило технические детали, необходимые для понимания инфраструктуры операции, а их отчет о 220% росте год за годом заставило руководителей высшего звена говорить об угрозе, которая ранее считалась нишевой.

Регуляторный посыл ясен: компании должны принимать разумные меры для проверки личности удаленных работников. «Мы не знали» больше не является адекватной защитой.

Как защитить свою организацию

Схема с участием северокорейских IT-специалистов сложна, но не неуязвима. Она использует пробелы между этапами найма, которые изначально не были разработаны для работы вместе как единая система проверки личности. Устранение этих пробелов требует отношения к приему на работу на таком же уровне строгости, как и KYC клиентов — потому что риск сопоставим.

Проверка документов

Всему новому персоналу должно быть предложено представить документ, удостоверяющий личность, выданный государством, который должен быть проверен на соответствие известным шаблонам документов. Северокорейские агенты часто используют поддельные, измененные или полностью сфабрикованные документы. Автоматическая проверка документов, которая проверяет более 14 000 типов документов в более чем 220 странах, обнаруживает несоответствия в шрифтах, голограммах, MRZ-кодах и функциях безопасности, которые не заметит ни один рецензент-человек.

AML и проверка watchlist

Если бы Кристина Чапман или любой из 14 обвиняемых северокорейских граждан были проверены по санкционному списку OFAC Specially Designated Nationals или по базам данных правоохранительных органов, их трудоустройство было бы отмечено еще до начала. Проверка более чем 1000 глобальных списков наблюдения — включая OFAC, санкции ООН, Интерпол и базы данных ФБР — превращает найм из процесса, основанного на доверии, в процесс, подтвержденный соответствием требованиям.

Биометрическое обнаружение живости

Дело KnowBe4 было вызвано фотографией из стокового фото, улучшенной с помощью искусственного интеллекта, которая оказалась достаточно убедительной, чтобы пройти видеоинтервью. Биометрическое обнаружение живости полностью устраняет это. Требуя селфи в режиме реального времени с пассивными проверками живости — обнаруживая глубину, текстуру, микро-движения и другие биологические сигналы — организации могут подтвердить, что они взаимодействуют с живым человеком, а не с фотографией, дипфейком или предварительно записанным видео.

Сопоставление лиц (проверка 1:1)

Даже если удостоверение личности украдено, а не подделано, технология сопоставления лиц гарантирует, что человек, предъявляющий документ, — это тот, кто на нем изображен. Биометрическое сравнение 1:1 между селфи в режиме реального времени и фотографией в удостоверении личности выявляет фундаментальный обман, лежащий в основе схемы NK: человек, проходящий собеседование, — не тот, кто указан в удостоверении личности. При стоимости 0,05 доллара США за проверку это самое экономически эффективное мероприятие по противодействию подмене личности.

Анализ IP-адресов и подключений

Северокорейские агенты используют VPN, прокси-серверы и сети Tor для маскировки своего истинного местоположения. Анализ IP-адресов отмечает подключения от известных поставщиков VPN, прокси-сервисов, центров обработки данных и сетей анонимности. При стоимости 0,03 доллара США за проверку это обеспечивает небольшую, но эффективную подсказку о том, что заявленное местоположение пользователя не соответствует его фактической сетевой инфраструктуре.

Постоянный мониторинг

Угроза не заканчивается на этапе приема на работу. Северокорейские агенты могут пройти первоначальные проверки, а затем изменить свое поведение — расширить права доступа, извлечь данные или установить вредоносное программное обеспечение (как в случае с KnowBe4). Постоянный мониторинг гарантирует, что любые изменения статуса личности после приема на работу, включение в санкционные списки или неблагоприятные сообщения об информации будут обнаружены в режиме реального времени, а не через несколько месяцев во время ежегодного обзора.

Математика, которая должна держать CISO в напряжении

Средняя стоимость проникновения северокорейского IT-специалиста — включая реагирование на инциденты, юридические риски, потенциальные нарушения санкций и ущерб репутации — составляет сотни тысяч долларов за инцидент. Для компаний, которые обнаруживают утечку данных после ее произошедшей, затраты увеличиваются.

Комплексный набор проверки личности — проверка документов, биометрическая живость, сопоставление лиц, AML-скрининг и анализ IP-адресов — стоит от 0,30 до 0,50 доллара США за проверку. Для компании, нанимающей 1000 удаленных сотрудников в год, это составляет от 300 до 500 долларов США в виде общих затрат на проверку.

Вопрос больше не в том, может ли ваша организация позволить себе внедрить проверку личности при приеме на работу. Вопрос в том, можете ли вы позволить себе этого не делать — когда спонсируемые государством злоумышленники активно ищут ваши открытые вакансии, и регулирующие органы заявляют, что незнание не является защитой.

Проверка личности — это больше не просто обязательный пункт для финансовых учреждений. В эпоху мошенничества с кандидатами, спонсируемого государством, это императив национальной безопасности для каждой организации, которая нанимает удаленно.

Операция с участием северокорейских IT-специалистов будет продолжать масштабироваться. Она слишком выгодна для Пхеньяна и слишком проста в реализации против организаций, которые полагаются на найм, основанный на доверии. Компании, которые выживут в этой угрозе, — это те, которые перестали доверять и начали проверять.