Estados Unidos está acusando a otros cinco sospechosos que cree que estuvieron involucrados en el esquema fraudulento y de larga data de trabajadores de TI remotos de Corea del Norte, incluido uno que cambió su apellido a «Bane» y consiguió un trabajo en un negocio tecnológico en San Francisco.
Dos ciudadanos norcoreanos que residen en China, Jin Sung-Il y Pak Jin-Song, se encuentran entre los acusadoacusado de realizar diversos trabajos para numerosas empresas estadounidenses, todos ellos facilitados por otras tres personas que gestionan las llamadas granjas de portátiles.
El ciudadano mexicano Pedro Ernesto Alonso De Los Reyes, que vive en Suecia, y los ciudadanos estadounidenses Erick Ntekereze Prince y Emanuel Ashtor, de Nueva York y Carolina del Norte respectivamente, también fueron acusados de facilitar el plan.
Alonso está acusado de permitir intencionalmente que los desarrolladores norcoreanos usaran su identidad genuina para crear documentos falsos de visa de trabajador estadounidense, mientras que se alega que Prince y Ashtor registraron y administraron Taggcar y Vali Tech respectivamente, dos compañías de personal estadounidenses utilizadas para asegurar empleo para trabajadores remotos. contratistas.
Los fiscales afirman que el plan funcionó durante bastante tiempo. El acusación (PDF) alega que las cinco personas, junto con otras no incluidas en los cargos, iniciaron el plan en abril de 2018 y lo ejecutaron hasta aproximadamente agosto de 2024.
Estados Unidos afirma que Prince y Ashtor configuraron las computadoras portátiles emitidas por las empresas estadounidenses victimizadas y descargaron ilegalmente software de acceso remoto como AnyDesk y Teamviewer, lo que supuestamente permitió a personas como Jin, Pak y otros conectarse de forma remota y trabajar para las empresas estadounidenses en TI. roles. Se trataba principalmente de trabajos de desarrollador de aplicaciones móviles, pero también involucraban lo que la acusación describe como «puestos de ingeniero especializado».
Miembros no especificados del esquema también establecieron cuentas bancarias en Estados Unidos para recibir pagos de salarios, que en algunos casos superaban con creces las seis cifras, así como cuentas en otras plataformas de pago utilizadas para lavar los fondos, menos la parte supuestamente tomada por Alonso y Prince, afirma el Departamento de Justicia.
Al menos 64 empresas estadounidenses fueron engañadas con éxito por el plan durante el período de seis años, afirma la acusación. Los pagos realizados por sólo diez de estas organizaciones ascendieron a aproximadamente 866.255 dólares.
Sólo nueve de las empresas víctimas fueron descritas con algún detalle:
-
Una es una corporación minorista multinacional con sede en EE. UU.
-
Otra era una institución financiera con sede en Stamford, CT.
-
Una línea de cruceros internacional con sede en Miami
-
Un negocio tecnológico en San Francisco
-
Dos empresas de TI con sede en Palo Alto y Milpitas, CA
-
Tres empresas de dotación de personal con sede en Illinois, California y Florida
Estas empresas fueron victimizadas de diferentes maneras, a veces simultáneamente. En un ejemplo compartido en la acusación, Jin supuestamente consiguió empleo en la empresa de personal de Illinois y firmó documentos con la empresa de TI de Palo Alto sobre la confidencialidad y el cuidado del dispositivo proporcionado por la empresa.
En otro, Jin supuestamente consiguió un empleo en la institución financiera de Stamford y, meses después, un segundo trabajo en la empresa de tecnología de San Francisco. Después de conseguir el trabajo en Stamford, Jin informó a la empresa que cambió su apellido a «Bane», la persona que luego utilizó para conseguir un trabajo en San Francisco, según la acusación.
«El Departamento de Justicia sigue comprometido a desbaratar los esquemas de evasión de sanciones cibernéticos de Corea del Norte, que buscan engañar a las empresas estadounidenses para que financien las prioridades del régimen norcoreano, incluidos sus programas de armas», dijo Devin DeBacker, funcionario supervisor del Departamento Nacional de Justicia. División de Seguridad.
«Nuestro compromiso incluye la persecución vigorosa tanto de los actores norcoreanos como de aquellos que les brindan apoyo material. También incluye estar al lado de las empresas estadounidenses no sólo para interrumpir la victimización en curso, sino también para ayudarlos a detectar y prevenir de forma independiente tales planes en el futuro.»
Prince y Ashtor fueron arrestados por el FBI en un momento no especificado. La residencia de Ashtor en Carolina del Norte fue registrada y los funcionarios encargados de hacer cumplir la ley dijeron que anteriormente se utilizaba para albergar la granja de computadoras portátiles.
Alonso también fue arrestado a principios de este mes, el 10 de enero en Países Bajos, tras una orden de arresto emitida por Estados Unidos. No se mencionó si ya había sido extraditado.
Las cinco personas están acusadas y enfrentan cargos relacionados con conspiración para causar daños a una computadora protegida, conspiración para cometer fraude electrónico y fraude postal, conspiración para cometer lavado de dinero y conspiración para transferir documentos de identificación falsos.
Además, Jin y Pak están acusados de conspiración para violar la Ley de Poderes Económicos de Emergencia Internacional. Al estar radicados en China, la probabilidad de que sean vistos en un tribunal de Estados Unidos es escasa, aunque si por casualidad eso sucede, enfrentarán una sentencia máxima de 20 años.
El FBI caza mejor, Corea del Norte se vuelve más desagradable
Coincidiendo con la acusación del jueves, el FBI actualizó su orientación anterior sobre el oficio de los trabajadores de TI de Corea del Norte. dicho Las tácticas de los estafadores se han vuelto más agresivas últimamente.
Después de conseguir empleo, el FBI dijo que estos trabajadores fueron sorprendidos robando datos privados, incluido código, y extorsionando al empleador para que pagara un rescate. Algunos casos han llevado a que estos datos se publiquen en línea, añadió.
Si bien no es raro que los desarrolladores de software copien el código de la empresa en sus cuentas personales de GitHub, la práctica se considera un riesgo importante en el caso de los esquemas de Corea del Norte.
Existe un temor creciente de que estos trabajadores puedan llevar su oficio más lejos, robando credenciales genuinas y cookies de sesión para facilitar tipos adicionales de compromiso.
Al comentar sobre la noticia, Michael Barnhart, analista principal de Mandiant, dijo: «La creciente presión de las fuerzas del orden y la cobertura de los medios sobre la política de Corea del Norte elaborado esquema de trabajadores de TI está impactando el éxito de sus operaciones. Sin embargo, un subproducto desafortunado de las acciones policiales es que estos actores de amenazas se están volviendo notablemente más agresivos en sus tácticas.
«Vemos cada vez más a trabajadores de TI norcoreanos infiltrándose en organizaciones más grandes para robar datos confidenciales y cumplir con sus amenazas de extorsión contra estas empresas. Tampoco es sorprendente verlos expandir sus operaciones a Europa para replicar su éxito, ya que es más fácil atrapar a ciudadanos que No estamos familiarizados con su estratagema.»
Barnhart también dijo que Mandiant, que anteriormente compartió su Los mejores consejos para atrapar a los malhechores de TI de Corea del Norteestá viendo un aumento en ellos, dirigidos específicamente a empresas que dependen de una infraestructura de escritorio virtual en lugar de proporcionar hardware físico a sus empleados remotos.
Si bien es más rentable para las empresas y elimina la necesidad de granjas de portátiles, «es más fácil para los actores de amenazas ocultar su actividad maliciosa», afirmó.
«Como resultado, los trabajadores de TI de Corea del Norte están convirtiendo los ahorros a corto plazo de una empresa en riesgos de seguridad y pérdidas financieras a largo plazo, por lo que es imperativo que más empresas presten atención a estas operaciones».
El oficio de los cibercriminales siempre está evolucionando a medida que los defensores se aferran a las tácticas y las obstaculizan con relativa rapidez. Investigadores de seguridad de empresas como Microsoft y Sophos han emitido advertencias sobre la actividad de Rusia, por ejemplo. microsoft prevenido que equipos patrocinados por el estado ahora están apuntando a cuentas de WhatsApp para hurgar en busca de secretos, mientras que los humildes cabrones de ransomware del país ahora están hacerse pasar por el personal del servicio de asistencia técnica en Teamshacer videollamadas a las víctimas y engañarlas para que instalen malware, dijo Sophos esta semana. ®
