北朝鮮IT工作員がフリーランサーをターゲットに国際制裁回避か
北朝鮮のIT工作員がUpwork、GitHub、Freelancerでリクルーターを装い、認証済みのフリーランサーアカウントを乗っ取っている。
調査によると、北朝鮮は、遠隔地での契約や銀行口座の取得のため、フリーランサーを代理IDとして採用しているという。リモートテクノロジー関連の仕事のアイデンティティプロキシとして募集するフリーランスプラットフォームやコードホスティングプラットフォームを通じて、被害者をだます手口を「多様化」させている。
工作員は、Upwork、Freelancer、GitHubで求職者に連絡を取り、その後暗号化されたチャンネルTelegramやDiscordにメイン場所を移してリモートアクセスソフトウェアの設定や本人確認の通過方法を指導している。テレフォニカ(Telefónica)のサイバー脅威インテリジェンス専門家兼ブロックチェーンセキュリティ研究者のハイネル・ガルシア(Heiner García)氏によると、工作員は、正規の労働者になりすまし、実在人物の認証済みアカウントを使用することで国際制裁を回避しているという。
同氏は、北朝鮮工作員が認証済みIDを使用して、通常は制裁対象国からのユーザーをブロックする地理フィルター、身元確認、VPN検出システムを回避できることを発見。彼らは盗用や借用したIDを使ってリモートITの仕事に応募したり、実行でき、出自を隠蔽(いんぺい)しながら、何も知らない顧客から報酬を受け取れるという。
ガルシア氏は今年初め、仮想通貨ダミー会社を設立し、コインテレグラフ(Cointelegraph)と共同で、リモートワークの技術職を探している北朝鮮工作員とみられる人物にインタビューを実施。候補者は日本人を名乗ったものの、日本語で自己紹介を要求されると電話を切ったという。
支払いは仮想通貨、PayPal、銀行
このような活動は主に、米国、ヨーロッパ、アジアの一部で実行されており、ウクライナとフィリピンは、求人情報で最も頻繁に多い地域であり、低所得者層や社会的弱者にとって“高収入のチャンス”となる可能性が高いためと考えられている。
工作員と協力者の間の利益分配構造は、取引の早い段階で合意され、記録されているほとんどのケースでIT担当者が被害者を説得し、仮想通貨、PayPal、銀行振込で送金させている。ある確認済みのケースでは、北朝鮮のIT担当者が、イリノイ州在住の建築家を名乗って登録された不正なUpworkアカウントを使用していたことが判明している。
