Rubate le identità di oltre 80 americani per truffe ai danni di dipendenti IT nordcoreani

Per anni, il governo nordcoreano ha trovato una fiorente fonte di entrate per eludere le sanzioni, incaricando i suoi cittadini di candidarsi segretamente per lavori tecnologici da remoto in Occidente . Un'operazione di smantellamento recentemente rivelata dalle forze dell'ordine americane chiarisce quanta dell'infrastruttura utilizzata per portare a termine questi schemi si trovasse negli Stati Uniti e quante identità di americani siano state rubate dai falsi nordcoreani per metterli in atto.

Lunedì, il Dipartimento di Giustizia ha annunciato un'operazione su vasta scala per reprimere gli elementi statunitensi del programma di telelavoro dei lavoratori informatici nordcoreani, inclusi incriminazioni contro due americani che, secondo il governo, erano coinvolti nelle operazioni, uno dei quali è stato arrestato dall'FBI. Le autorità hanno anche perquisito 29 "laboratori di computer portatili" in 16 stati, presumibilmente utilizzati per ricevere e ospitare i PC a cui i lavoratori nordcoreani accedono da remoto, e ne hanno sequestrati circa 200, oltre a 21 domini web e 29 conti finanziari che avevano ricevuto i proventi generati dall'operazione. L'annuncio e le incriminazioni del Dipartimento di Giustizia rivelano anche come i nordcoreani non si siano limitati a creare falsi documenti d'identità per insinuarsi nelle aziende tecnologiche occidentali, secondo le autorità, ma abbiano presumibilmente rubato le identità di "oltre 80 cittadini statunitensi" per impersonarli in lavori presso più di cento aziende statunitensi e incanalare denaro verso il regime di Kim.

"È un'impresa enorme", afferma Michael Barnhart, investigatore specializzato in hacking e spionaggio nordcoreano presso DTEX, un'azienda di sicurezza specializzata in minacce interne. "Ogni volta che si ha una farm di laptop come questa, quello è il punto debole di queste operazioni. Bloccarle in così tanti stati è una cosa enorme."

In totale, il Dipartimento di Giustizia afferma di aver identificato sei americani che ritiene coinvolti in un piano per consentire ai lavoratori nordcoreani di imitare i propri dipendenti, sebbene solo due siano stati identificati e incriminati penalmente – Kejia Wang e Zhenxing Wang, entrambi residenti nel New Jersey – e solo Zhenxing Wang sia stato arrestato. I pubblici ministeri accusano i due uomini di aver contribuito a rubare l'identità di decine di americani affinché i nordcoreani la assumessero, di aver ricevuto computer portatili dai loro datori di lavoro, di aver configurato l'accesso remoto per consentire ai nordcoreani di controllare tali computer da tutto il mondo – spesso abilitando tale accesso remoto tramite un dispositivo hardware chiamato "commutatore tastiera-video-mouse" o KVM – e di aver creato società fittizie e conti bancari che hanno permesso al governo nordcoreano di ricevere gli stipendi che presumibilmente percepivano. Il Dipartimento di Giustizia afferma che i due americani hanno anche collaborato con sei cospiratori cinesi identificati, secondo i documenti dell'accusa, oltre a due cittadini taiwanesi.

Per creare le identità di copertura dei lavoratori nordcoreani, i pubblici ministeri affermano che i due Wang hanno avuto accesso ai dati personali di oltre 700 americani, effettuando ricerche di documenti privati. Ma per gli individui impersonati dai nordcoreani, si sarebbero spinti ben oltre, utilizzando le scansioni delle patenti di guida e delle tessere di previdenza sociale delle vittime del furto d'identità per consentire loro di candidarsi a un lavoro a loro nome, secondo il Dipartimento di Giustizia.

Dai documenti d'accusa non è chiaro come siano stati ottenuti quei documenti personali. Tuttavia, Barnhart del DTEX afferma che le operazioni di impersonificazione nordcoreane in genere ottengono i documenti identificativi degli americani da forum di criminalità informatica sul dark web o da siti di fuga di dati. In effetti, sostiene che le oltre 80 identità rubate citate dal Dipartimento di Giustizia rappresentano un campione esiguo delle migliaia di documenti d'identità statunitensi che ha visto, in alcuni casi, estratti dall'infrastruttura delle operazioni di hacking nordcoreane.

"Ne hanno una buona dose", dice Barnhart. "Ovunque un criminale ottenga un documento d'identità, si limitano a sfruttarlo, perché così non devono nemmeno violare i dati. È già lì." Barnhart afferma di aver visto imitatori nordcoreani arrivare al punto di filtrare le loro identità rubate per verificare eventuali precedenti penali e persino di scegliere di impersonare americani residenti in stati senza imposta sul reddito per massimizzare i guadagni.

Oltre alle accuse mosse dal Dipartimento di Giustizia contro Kejia Wang e Zhenxing Wang, i procuratori hanno anche annunciato che l'FBI ha effettuato perquisizioni in altre 21 presunte fabbriche di laptop in 14 stati americani e sequestrato circa 137 PC che, secondo i procuratori, sono stati utilizzati in programmi di telelavoro nordcoreani. In altri due casi, i procuratori affermano che i nordcoreani hanno utilizzato l'accesso privilegiato ottenuto impersonando lavoratori occidentali in aziende di criptovalute per rubare fondi per un valore di oltre 900.000 dollari, inclusi circa 740.000 dollari rubati a un'azienda con sede ad Atlanta.

Sebbene la maggior parte dei sistemi di impersonificazione nordcoreana che il Dipartimento di Giustizia ha cercato di smantellare sembrasse essere incentrata sul denaro, i pubblici ministeri hanno anche osservato che una delle aziende in cui i lavoratori nordcoreani si sono infiltrati nell'operazione presumibilmente facilitata dai due Wang era un'azienda appaltatrice della difesa con sede in California, specializzata in tecnologie legate all'intelligenza artificiale. In quel caso, il governo sostiene che gli impostori nordcoreani abbiano anche avuto accesso e probabilmente rubato dati tecnici, tra cui alcune informazioni sufficientemente sensibili da essere protette dai controlli sulle esportazioni noti come Regolamento sul Traffico Internazionale di Armi (ITAR).

Sebbene le incursioni, le incriminazioni e gli arresti effettuati dal Dipartimento di Giustizia e dall'FBI siano significativi, Barnhart del DTEX afferma che sono ben lungi dall'essere la fine dei tentativi della Corea del Nord di infiltrarsi nelle aziende occidentali e, in particolare, statunitensi, sia a scopo di lucro che a scopo di spionaggio. Dopotutto, solo un sospettato è in custodia, anche tra gli individui nominati dal Dipartimento di Giustizia, e innumerevoli altri nordcoreani coinvolti in questo tipo di attività rimangono indenni all'interno dei confini del regime e nelle regioni limitrofe della Cina in cui operano.

"Questo metterà a dura prova il loro operato", afferma Barnhart. "Ma se noi ci adattiamo, loro si adattano."