Amerika Birleşik Devletleri'nde, Kuzey Koreli yetenekli IT çalışanlarının sahte kimliklerle ABD şirketlerinde uzaktan çalışmasını sağlayan bir şebeke çökertildi. Federal savcılar, bu tür faaliyetlerde bulunarak ABD yasalarını ihlal eden beş kişinin suçlu bulunduğunu açıkladı. Bu durum, Kuzey Kore hükümeti tarafından desteklenen hackleme ve tehdit gruplarının organize ettiği benzer yöntemlerin artmasıyla aynı zamana denk geliyor.
Neredeyse beş yıl önce yoğunlaşan bu tür kampanyaların temel amacı, Kuzey Kore'nin silah programlarını finanse etmek için milyonlarca dolarlık gelir ve kripto para çalmak. Ayrıca, casusluk amaçlı siber saldırılar düzenlemek de bir diğer motivasyon olarak öne çıkıyor. Bu tür bir olayda, ABD'li güvenlik şirketi KnowBe4'ta sahte yollarla işe giren Kuzey Koreli bir kişinin, işe başlar başlamaz kötü amaçlı yazılım yüklediği tespit edilmişti.
Cuma günü ABD Adalet Bakanlığı tarafından yapılan açıklamada, APT38 (diğer adıyla Lazarus) tarafından organize edilen bir şemada Kuzey Korelilere iş bulma konusunda yardımcı olan beş kişinin suçlu bulunduğu belirtildi. APT38, on yılı aşkın bir süredir ABD ve diğer ülkeleri hedef alan, giderek daha cüretkar ve gelişmiş saldırı kampanyaları yürütüyor. Bu beş kişi, çeşitli eylemlerinden dolayı dolandırıcılık ve bir kişi de ağır kimlik hırsızlığı suçlarından hüküm giydi.
Bu Laptoplar Düşündüğünüz Gibi Değil
Savcılar, "Örneğin, kolaylaştırıcılar kendi sahte veya çalınmış kimliklerini kullandılar ve Kuzey Koreli IT çalışanlarının yurt içinde çalıştığı izlenimini yaratmak için ABD'li mağdur şirketler tarafından sağlanan laptopları Amerika Birleşik Devletleri'ndeki evlerinde barındırdılar" dedi. "Toplamda, bu sanıkların dolandırıcılıkla yürüttüğü istihdam şemaları, 136'dan fazla ABD'li mağdur şirketi etkiledi, Kuzey Kore rejimine 2,2 milyon dolardan fazla gelir sağladı ve 18'den fazla ABD vatandaşının kimliğini tehlikeye attı." Benzer şemalar daha önce de rapor edilmişti.
Sanıklardan dördü - Audricus Phagnasay (24), Jason Salazar (30), Alexander Paul Travis (34) ve Erick Ntekereze Prince (30) - birer adet elektronik dolandırıcılık suçundan hüküm giydi. Phagnasay, Salazar ve Travis, ABD kimliklerini, sanıkların yurt dışındaki işler olduğunu bildikleri IT işleri için başvuranlara verdiklerini itiraf etti. Çalışanlar, istihdamı yasaklayan yasaları atlatmak için bu sahte kimlikleri kullandı. Dört sanık aynı zamanda evlerinde çalıştırdıkları laptoplara uzaktan erişim yazılımı kurdu. Bu düzenleme, Kuzey Koreli IT çalışanlarının yurt dışından değil, sanıkların evlerinden uzaktan çalıştığı izlenimini yarattı.
Her bir sanık, ayrıca IT çalışanlarının işveren doğrulama prosedürlerini geçmesine yardımcı oldu. Örneğin, Travis ve Salazar, çalışanlar adına ilaç testi için göründü.
Travis, olay sırasında ABD Ordusu'nda aktif görevli olmasına rağmen, şemadaki katılımı için en az 51.397 dolar aldı. Phagnasay ve Salazar ise sırasıyla en az 3.450 dolar ve 4.500 dolar kazandı. Dolandırıcılıkla elde edilen işlerden elde edilen yaklaşık 1,28 milyon dolarlık maaş ödemesinin büyük çoğunluğu yurt dışındaki IT çalışanlarına gönderildi.
Beşinci sanık, Ukrayna vatandaşı Oleksandr Didenko, elektronik dolandırıcılığın yanı sıra ağır kimlik hırsızlığı suçundan da hüküm giydi. Didenko, ABD vatandaşlarının kimliklerini çalıp Kuzey Koreli IT çalışanları da dahil olmak üzere yurt dışındaki IT çalışanlarına sattığı ve bu sayede 40 ABD şirketinde sahte istihdam sağladığı uzun yıllara dayanan bir şemaya karıştığını itiraf etti. Didenko, dolandırıcı başvuru sahiplerini işe alan mağdur şirketlerden yüz binlerce dolar aldı. Didenko, anlaşma gereği ele geçirilen ve kendisi ile suç ortaklarından alınan 570.000 dolardan fazlası da dahil olmak üzere 1,4 milyon dolardan fazla varlığı temlik etmeyi kabul etti.
2022'de ABD Hazine Bakanlığı, Kuzey Kore Demokratik Halk Cumhuriyeti'nin ülkenin kitle imha silahları ve balistik füze programları için gelir elde etmek amacıyla dünya çapında binlerce yetenekli IT çalışanı istihdam ettiğini belirtmişti.
Hazine Bakanlığı yetkilileri, "Birçok durumda, Kuzey Koreli IT çalışanları kendilerini ABD merkezli ve/veya Kuzey Koreli olmayan teleworker olarak tanıtıyorlar. Çalışanlar, işleri üçüncü şahıslara devrederek kimliklerini ve/veya konumlarını daha da gizleyebilirler. Kuzey Koreli IT çalışanları normalde kötü amaçlı siber faaliyetlerden farklı IT işleriyle uğraşırken, müteahhit olarak elde ettikleri ayrıcalıklı erişimi Kuzey Kore'nin kötü amaçlı siber saldırılarına olanak tanımak için kullandılar. Ek olarak, çalışanların zorla çalıştırıldığına dair vakalar da muhtemelen mevcut." ifadelerini kullanmıştı.
Benzer programlarla ilgili diğer ABD hükümeti uyarıları 2023 ve 2024'te yayınlanmış ancak herhangi bir açıklama yapılmadan kaldırılmıştı.
Cuma günkü açıklamasında Adalet Bakanlığı ayrıca, FBI'ın Mart ayında APT38 aktörlerinden ele geçirdiği USDT (ABD dolarına sabitlenmiş bir kripto para stablecoin'i) cinsinden 15 milyon dolar değerindeki varlığın müsaderesini talep ettiğini de bildirdi. Ele geçirilen fonlar, APT38'in Temmuz 2023'te Estonya ve Panama'daki sanal para ödeme işlemcilerine karşı gerçekleştirdiği iki ve Kasım 2023'te Panama ve Seyşeller'deki borsalardan çaldığı iki hırsızlık olayından elde edilmişti.
Adalet Bakanlığı, APT38'in varlıkları sanal para köprüleri, karıştırıcılar, borsalar ve tezgah üstü yatırımcılar aracılığıyla aklamasından dolayı, çalınan tüm varlıkların bulunması, el konulması ve müsaderesi için yapılan girişimlerin devam ettiğini belirtti.
