Identidades de mais de 80 americanos foram roubadas por golpes envolvendo funcionários de TI da Coreia do Norte

Durante anos, o governo norte-coreano encontrou uma fonte crescente de receita para escapar das sanções, incumbindo seus cidadãos de se candidatarem secretamente a empregos remotos na área de tecnologia no Ocidente . Uma operação de desativação recentemente revelada pelas autoridades americanas deixa claro o quanto da infraestrutura usada para executar esses esquemas estava sediada nos Estados Unidos — e quantas identidades de americanos foram roubadas pelos impostores norte-coreanos para executá-los.

Na segunda-feira, o Departamento de Justiça anunciou uma operação abrangente para reprimir elementos norte-americanos do esquema de trabalhadores remotos de TI da Coreia do Norte, incluindo indiciamentos contra dois americanos que, segundo o governo, estavam envolvidos nas operações — um dos quais foi preso pelo FBI. As autoridades também realizaram buscas em 29 "fábricas de laptops" em 16 estados, supostamente usadas para receber e hospedar os PCs acessados ​​remotamente pelos trabalhadores norte-coreanos, e apreenderam cerca de 200 desses computadores, bem como 21 domínios da web e 29 contas financeiras que haviam recebido a receita gerada pela operação. O anúncio e os indiciamentos do Departamento de Justiça também revelam como os norte-coreanos não apenas criaram identidades falsas para se infiltrarem em empresas de tecnologia ocidentais, de acordo com as autoridades, mas supostamente roubaram as identidades de "mais de 80 cidadãos americanos" para se passarem por eles em empregos em mais de cem empresas americanas e canalizar dinheiro para o regime de Kim.

"É enorme", diz Michael Barnhart, investigador especializado em espionagem e hacking norte-coreano na DTEX, uma empresa de segurança focada em ameaças internas. "Sempre que se tem uma fábrica de laptops como essa, esse é o ponto fraco dessas operações. Encerrá-las em tantos estados é algo enorme."

No total, o Departamento de Justiça afirma ter identificado seis americanos que acredita estarem envolvidos em um esquema para permitir que os imitadores de trabalhadores de tecnologia norte-coreanos se passassem, embora apenas dois tenham sido nomeados e acusados ​​criminalmente — Kejia Wang e Zhenxing Wang, ambos baseados em Nova Jersey — e apenas Zhenxing Wang tenha sido preso. Os promotores acusam os dois homens de ajudar a roubar as identidades de dezenas de americanos para os norte-coreanos assumirem, recebendo laptops enviados a eles por seus empregadores, configurando acesso remoto para norte-coreanos controlarem essas máquinas de qualquer lugar do mundo — muitas vezes permitindo esse acesso remoto usando um dispositivo de hardware chamado "switch teclado-vídeo-mouse" ou KVM — e criando empresas de fachada e contas bancárias que permitiam ao governo norte-coreano receber os salários que supostamente ganhavam. O Departamento de Justiça afirma que os dois americanos também trabalharam com seis conspiradores chineses nomeados, de acordo com os documentos de acusação, bem como com dois cidadãos taiwaneses.

Para criar as identidades falsas dos trabalhadores norte-coreanos, os promotores afirmam que os dois Wang acessaram os dados pessoais de mais de 700 americanos em buscas em registros privados. Mas, no caso dos indivíduos que os norte-coreanos personificaram, eles supostamente foram muito além, usando escaneamentos das carteiras de motorista e cartões de Seguro Social das vítimas de roubo de identidade para permitir que os norte-coreanos se candidatassem a empregos em seus nomes, de acordo com o Departamento de Justiça.

Não fica claro nos documentos de acusação como esses documentos pessoais foram supostamente obtidos. Mas Barnhart, da DTEX, afirma que as operações de falsificação de identidade norte-coreanas normalmente obtêm documentos de identificação de americanos em fóruns de cibercriminosos da dark web ou em sites de vazamento de dados. Na verdade, ele afirma que as mais de 80 identidades roubadas citadas pelo Departamento de Justiça representam uma pequena amostra dos milhares de documentos de identidade americanos que ele viu serem obtidos, em alguns casos, da infraestrutura de operações de hackers norte-coreanas.

"Eles têm um estoque desses", diz Barnhart. "Em qualquer lugar onde um criminoso vá obter uma identidade, eles simplesmente pegam carona, porque assim nem precisam cometer o roubo. A fraude já está lá." Barnhart diz ter visto imitadores de norte-coreanos chegarem ao ponto de verificar suas identidades roubadas em busca de antecedentes criminais e até optarem por se passar por americanos que residem em estados sem imposto de renda para maximizar seus ganhos.

Diferentemente das acusações do Departamento de Justiça contra Kejia Wang e Zhenxing Wang, os promotores também anunciaram que o FBI realizou buscas em outras 21 supostas fazendas de laptops em 14 estados americanos e apreendeu aproximadamente 137 PCs que, segundo os promotores, foram usados ​​em esquemas de trabalho remoto na Coreia do Norte. Em outros dois casos, os promotores afirmam que os norte-coreanos usaram o acesso privilegiado obtido ao se passarem por trabalhadores de tecnologia ocidentais em empresas de criptomoedas para roubar mais de US$ 900.000 em fundos, incluindo cerca de US$ 740.000 roubados de uma empresa sediada em Atlanta.

Embora a maioria dos esquemas de falsificação de identidade norte-coreana que o Departamento de Justiça tentou interromper parecesse ter como objetivo o lucro, os promotores também observam que uma das empresas em que os trabalhadores norte-coreanos se infiltraram na operação supostamente facilitada pelos dois Wangs era uma empresa de defesa sediada na Califórnia, especializada em tecnologia relacionada à IA. Nesse caso, o governo alega que os falsificadores norte-coreanos também acessaram e provavelmente roubaram dados técnicos, incluindo algumas informações sensíveis o suficiente para serem protegidas pelos controles de exportação conhecidos como Regulamentos Internacionais de Tráfico de Armas, ou ITAR.

Embora as batidas, indiciamentos e prisões realizadas pelo Departamento de Justiça e pelo FBI sejam significativas, Barnhart, da DTEX, afirma que elas estão longe de encerrar as tentativas da Coreia do Norte de se infiltrar em empresas ocidentais e, especificamente, americanas, tanto com fins lucrativos quanto para espionagem. Afinal, apenas um suspeito está preso, mesmo entre os indivíduos nomeados pelo Departamento de Justiça — e inúmeros outros norte-coreanos envolvidos nesses tipos de esquemas permanecem intocados dentro das fronteiras do regime e nas regiões vizinhas da China onde operam.

"Isso vai prejudicar bastante o que eles estão fazendo", diz Barnhart. "Mas, à medida que nos adaptamos, eles se adaptam."