กระทรวงยุติธรรมได้เปิดเผยปฏิบัติการประสานงานขนาดใหญ่ที่มุ่งเป้าไปที่พนักงาน IT ทำงานระยะไกลชาวเกาหลีเหนือ ซึ่งประสบความสำเร็จในการแทรกซึมเข้าไปในบริษัทสหรัฐฯ กว่า 300 แห่ง รวมถึงบรรษัทใน Fortune 500 โดยใช้การขโมยตัวตนที่ซับซ้อนและแผนการฟาร์มแล็ปท็อป ปฏิบัติการนี้ส่งผลให้มีการตั้งข้อหาใน 16 รัฐ ยึดบัญชีการเงิน 29 บัญชี และกู้คืนคอมพิวเตอร์ประมาณ 200 เครื่องที่ใช้ในการฉ้อโกงอันซับซ้อนนี้
ขนาดของการดำเนินงาน:
- บริษัทใน US กว่า 300 แห่งถูกเจาะระบบ (รวมถึง Fortune 500)
- ตัวตนของชาวอมericันกว่า 60 รายถูกขโมย
- บัญชีการเงิน 29 บัญชีถูกยึด
- แล็ปท็อป 157 เครื่องถูกยึดคืนจาก 21 สถานที่ใน 14 รัฐ
- การดำเนินงานตั้งแต่ปี 2021 ถึง October 2024
การหลอกลวงด้วยฟาร์มแล็ปท็อป
หัวใจสำคัญของแผนการนี้คือฟาร์มแล็ปท็อปที่ตั้งอยู่ในสหรัฐฯ ซึ่งเป็นสถานที่ทางกายภาพที่ผู้สมรู้ร่วมคิดเป็นเจ้าภาพแล็ปท็อปที่บริษัทจัดให้ เพื่อให้คนงานชาวเกาหลีเหนือสามารถเข้าถึงจากระยะไกลได้ ผู้อำนวยความสะดวกเหล่านี้ใช้สวิตช์ keyboard-video-mouse (KVM) และฮาร์ดแวร์อื่นๆ เพื่อสร้างภาพลวงตาว่าคนงานอยู่ในสหรัฐฯ จริงๆ การตั้งค่านี้มีความน่าเชื่อถือมากจนหลอกบรรษัทใหญ่ๆ ได้เป็นเวลาหลายปี สร้างรายได้กว่า 68 ล้านดอลลาร์สหรัฐฯ ให้กับระบอบการปกครองเกาหลีเหนือ
ชุมชนได้ตั้งคำถามที่น่าสนใจเกี่ยวกับวิธีที่คนงานเหล่านี้จัดการรักษาการปกปิดตัวตนระหว่างการมีปฏิสัมพันธ์ในที่ทำงานตามปกติ ผู้แสดงความคิดเห็นคนหนึ่งกล่าวถึงความท้าทายของการสนทนาเรื่องเหตุการณ์ปัจจุบันที่จะเกิดขึ้นตามธรรมชาติในการประชุม โดยสงสัยว่าการมีปฏิสัมพันธ์ถูกจำกัดให้เป็นการสื่อสารผ่านข้อความเท่านั้นเพื่อหลีกเลี่ยงการถูกตรวจพบหรือไม่
ผลกระทบทางการเงิน:
- สร้างรายได้มากกว่า 68 ล้านดอลลาร์สหรัฐให้กับระบอบการปกครองของ North Korea
- ขโมยสกุลเงินดิจิทัลมากกว่า 900,000 ดอลลาร์สหรัฐ
- สร้างความเสียหายให้กับบริษัทใน US อย่างน้อย 3 ล้านดอลลาร์สหรัฐ
- คนงานแต่ละคนมีรายได้สูงถึง 300,000 ดอลลาร์สหรัฐต่อปี
การขโมยตัวตนในระดับอุตสาหกรรม
ปฏิบัติการนี้เกี่ยวข้องกับการขโมยตัวตนของพลเมืองสหรัฐฯ มากกว่า 60 คน เพื่อสร้างบุคลิกภาพปลอมสำหรับการจ้างงานระยะไกล คนงานชาวเกาหลีเหนือได้รับความช่วยเหลือจากผู้สมรู้ร่วมคิดในจีน ไต้หวัน และ UAE สร้างเรื่องราวเบื้องหลังที่ซับซ้อนพร้อมเว็บไซต์ปลอมและบริษัทหุ้มส่วนอย่าง Hepang Tech LLC และ Tony WKU LLC บริษัทปลอมเหล่านี้ทำหน้าที่ทำให้ข้อมูลประจำตัวของคนงานดูถูกต้องตามกฎหมายและเป็นช่องทางสำหรับการฟอกเงิน
ความซับซ้อนของแผนการนี้ขยายไปไกลกว่าการขโมยตัวตนธรรมดา คนงานสามารถผ่านการสัมภาษณ์ทางเทคนิคและความท้าทายด้านการเขียนโค้ดได้สำเร็จ โดยบางคนมีรายได้สูงถึง 300,000 ดอลลาร์สหรัฐฯ ต่อปี สิ่งนี้ได้จุดประกายการอภิปรายเกี่ยวกับว่าแนวทางการจ้างงานปัจจุบันที่ปฏิบัติต่อพนักงานเป็นทรัพยากรที่ไม่เปิดเผยตัวตนทำให้บริษัทเสี่ยงต่อการแทรกซึมเช่นนี้หรือไม่
ความลับทางทหารที่ถูกขโมยและสกุลเงินดิจิทัล
สิ่งที่น่ากังวลที่สุดคือการขโมยข้อมูลที่ละเอียดอ่อน รวมถึงข้อมูลที่ควบคุมภายใต้ International Traffic in Arms Regulations (ITAR) จากผู้รับเหมาด้านการป้องกันประเทศที่พัฒนาอุปกรณ์ทางทหารที่ขับเคลื่อนด้วย AI ในเหตุการณ์แยกต่างหาก คนงานชาวเกาหลีเหนือที่บริษัทบล็อกเชนขโมยสกุลเงินดิจิทัลมูลค่ากว่า 900,000 ดอลลาร์สหรัฐฯ โดยการแก้ไขซอร์สโค้ดของสมาร์ทคอนแทรกต์และใช้ประโยชน์จากการเข้าถึงระบบบริษัทที่เชื่อถือได้
เงินที่ถูกขโมยถูกฟอกผ่านตัวผสมสกุลเงินดิจิทัลอย่าง Tornado Cash ก่อนที่จะถูกโอนไปยังบัญชีที่ควบคุมโดยสายลับเกาหลีเหนือโดยใช้เอกสารประจำตัวมาเลเซียปลอม
จำเลยหลักและสถานที่:
- ผู้อำนวยความสะดวกในสหรัฐฯ: Zhengxing "Danny" Wang ( New Jersey ), Kujia "Tony" Wang ( New Jersey )
- พลเมืองจีน: Bo Han, Rong Yan, Zhao Peng, Yong Xu, Yuan Yuan, Zhenhong Zhou
- พลเมืองไต้หวัน: Mengting Hsieh, Enchie Liu
- แรงงานเกาหลีเหนือ: Kim Kwang Jin, Kung Tae Bok, Jong Yong Ju, Chang Nam Il
ความท้าทายในการป้องกันในอนาคต
ไม่มีอะไรเลย พวกเขาจะไม่ทำ... ตัวตนของเราทั้งหมดถูกขายและสามารถใช้เพื่อเปิดบัญชีธนาคาร บัญชีหลักทรัพย์ และบัญชีสกุลเงินดิจิทัล และเราจะไม่ได้รับแจ้งเกี่ยวกับเรื่องนี้เลย
ชุมชนยังคงสงสัยเกี่ยวกับมาตรการป้องกัน โดยชี้ไปที่ช่องโหว่พื้นฐานในระบบตรวจสอบตัวตนของสหรัฐฯ ความง่ายดายที่ข้อมูลส่วนบุคคลสามารถถูกซื้อและใช้เพื่อสร้างตัวตนปลอมที่น่าเชื่อถือ บ่งบอกว่าปัญหานี้ขยายไปไกลกว่าปฏิบัติการของเกาหลีเหนือ
บริษัทต่างๆ กำลังต่อสู้กับวิธีการตรวจสอบตัวตนและสถานที่ที่แท้จริงของคนงานระยะไกลโดยไม่สร้างกระบวนการจ้างงานที่เป็นภาระมากเกินไป เหตุการณ์นี้เน้นย้ำถึงความตึงเครียดระหว่างความยืดหยุ่นของการทำงานระยะไกลและความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น โดยเฉพาะเมื่อต้องจัดการกับผู้กระทำการที่ได้รับการสนับสนุนจากรัฐซึ่งมีทรัพยากรและแรงจูงใจอย่างมากในการรักษาปฏิบัติการแทรกซึมระยะยาว