Мошенничество с использованием Laptop Farm северокорейскими ИТ-работниками: в США сообщник приговорён к 7–9 годам, за два года выведено 2,8 млрд долларов

Согласно сообщению Fortune от 4/25, за последние два года правительство Северной Кореи проникало в американские и европейские компании с помощью удалённых IT-работников, принося примерно 2,8 млрд долларов выручки, которую направляли на поддержку программы разработки ядерного оружия. При этом Комитет Организации Объединённых Наций по многостороннему мониторингу санкций оценивает, что ежегодно стабильный вклад составляет от 250 до 600 млн долларов. В рамках этой схемы «помощники в США» в последнее время один за другим оказываются в тюрьме, раскрывая, что ключевой причиной, почему такие мошенничества могут существовать, является сеть соучастников внутри страны.

DOJ: двоих граждан США-злоумышленников приговорили к 7,5 годам и 9 годам

Министерство юстиции США 4/15–4/16 вынесло приговор двум подозреваемым — жителям штата Нью-Джерси, Kejia Wang и Zhenxing Wang, — соответственно приговорив их к 7,5 годам и 9 годам лишения свободы. Вменяемое им обвинение связано с длительной работой «laptop farm» (ферма ноутбуков): размещением в Соединённых Штатах десятков рабочих ноутбуков, выданных компаниями. Эти ноутбуки позволяли реальным IT-работникам, находящимся в Северной Корее, управлять ими через удалённое подключение, из-за чего корпоративные инструменты мониторинга IT ошибочно определяли, что действия исходят из территории США.

Прокуратура указала, что в этом деле использовались похищенные удостоверения личности как минимум 80 граждан США; затронутые компании — более 100, среди них — Fortune 500. Общая сумма по делу составила более 5 млн долларов, заведённых государством Северной Кореи, а посредническое вознаграждение получали двое Wang как основные помощники.

Механизм работы laptop farm

Ключевая структура таких мошенничеств несложна: IT-работники Северной Кореи (большинство — в Ляонине Даньдуне, в Владивостоке, или через кооперационные сети на границе Китай—Россия) подают заявки на удалённые должности в американских компаниях, используя украденные гражданские идентичности США. Как только их нанимают, компания отправляет ноутбуки на «адрес, указанный сотрудником» — а этот адрес по сути является laptop farm, который ведут соучастники на территории США. Соучастники настраивают ноутбуки на фиксированных IP и в фиксированном часовом поясе и отвечают за подключение/отключение питания, обработку курьерских отправлений, пересылку физических писем. Северокорейские работники входят и управляют через удалённые инструменты вроде RDP или anydesk; код и результаты работы, которые они производят, компания затем принимает по нормальной процедуре. Ежемесячная зарплата перечисляется на американские счета, а после того как соучастники получают свою долю, выводится наружу в криптовалюте (в основном USDT).

Эта схема позволяет на стороне компаний пройти все три пункта комплаенс-проверок: «IP сотрудника в США», «серийный номер устройства зарегистрирован в США», «часовой пояс с соблюдением графика работы» — это за последние три года стало внутренней угрозой, которую корпоративным службам безопасности было наиболее трудно обнаружить.

Сеть американских соучастников — самое слабое звено цепочки санкций

Сама по себе Северная Корея не испытывает дефицита в кадрах, умеющих писать код, но ей не хватает партнёров, которые «обладают в западных юрисдикциях реальной инфраструктурой и документами удостоверения личности США». Именно это является ключевым акцентом заголовка репортажа Fortune: американцы активно помогают Северной Корее завершить этот мошеннический замкнутый цикл. Длительность приговоров по делу Kejia Wang и Zhenxing Wang (7,5 и 9 лет) — одни из самых длительных среди дел laptop farm, рассмотренных в США на сегодняшний день, что отражает то, что Министерство юстиции рассматривает такие дела как двойную угрозу: «обход санкций + угроза национальной безопасности».

Расширенные риски для криптоиндустрии

Эта схема сильно пересекается с криптоиндустрией: конечные «доходы» Северной Кореи обычно выводятся наружу в USDT или других стейблкоинах, что и является одной из целей, которую Tether многократно замораживала совместно с OFAC. Ранее abmedia сообщало о том, как Tether и OFAC заморозили на Tron-цепочке 344 млн долларов USDT, а также о делах, где DOJ предъявляло обвинения в инсайдерской торговле, включая дело о главе подразделения Polymarket. Всё это в совокупности с настоящим делом laptop farm отражает эскалацию правоприменения со стороны США против сетевых преступлений государственного уровня. Для криптоиндустрии это означает, что требования комплаенс и KYC будут продолжать усиливаться — в особенности из-за растущего давления на мониторинг со стороны эмитентов стейблкоинов в связи с «чрезвычайно частыми P2P-выводами» и «массовыми входящими зачислениями на концентрированные адреса».

Для корпоративной стороны наиболее прямым ответом является: усиление требований к уровню проверки личности удалённых IT-сотрудников, включая видеособеседования (IT-работники Северной Кореи обычно требуют письменного общения, чтобы избежать появления лицом), отслеживание адресов доставки физических устройств, анализ долгосрочных моделей поведения IP и рабочих часовых поясов. В материале Fortune приведены оценки отраслевых консультантов: на территории США всё ещё функционируют ноутбучные «фермы» laptop farm, которые до сих пор не были разоблачены, и число соучастников намного больше, чем в уже предъявленных обвиняемых случаях.

Эта статья «Мошенничество laptop farm: северокорейские IT-работники — американских соучастников приговорили к 7–9 годам, за два года суммарно выручено 2,8 млрд долларов» впервые появилась на 链新闻 ABMedia.