Dwóch pośredników północnokoreańskiego schematu fałszywych pracowników IT skazanych w USA

Wprowadzenie do problemu / definicja

Schematy z udziałem północnokoreańskich „pracowników IT” łączą oszustwo tożsamościowe, obchodzenie procedur rekrutacyjnych oraz nadużycie modelu pracy zdalnej. Mechanizm polega na podszywaniu się pod legalnych specjalistów, uzyskiwaniu zatrudnienia w firmach oraz przejmowaniu dostępu do służbowego sprzętu, systemów i wynagrodzeń, które mogą finalnie zasilać działalność reżimu Korei Północnej.

Najnowsza sprawa z USA pokazuje, iż zagrożenie nie dotyczy wyłącznie działów HR. To pełnoprawny problem cyberbezpieczeństwa, ponieważ fałszywie zatrudnione osoby mogą działać z użyciem legalnie przyznanych kont, urządzeń i uprawnień.

W skrócie

W Stanach Zjednoczonych skazano dwóch obywateli USA za udział w operacji wspierającej północnokoreański schemat zatrudniania fikcyjnych pracowników IT. Śledczy ustalili, iż przestępcy wykorzystywali skradzione lub przejęte tożsamości mieszkańców USA, aby zdobywać zatrudnienie w ponad 100 firmach.

Według ustaleń proceder miał wygenerować ponad 5 mln dolarów nielegalnych przychodów dla Korei Północnej oraz spowodować straty przekraczające 3 mln dolarów po stronie poszkodowanych przedsiębiorstw. Kluczową rolę odgrywały tzw. laptop farms, czyli lokalizacje na terenie USA, z których obsługiwano firmowe urządzenia przypisane rzekomym pracownikom.

• wykorzystanie cudzych tożsamości do zatrudnienia,
• obsługa służbowych laptopów z infrastruktury pośredniczącej w USA,
• transfer środków finansowych do podmiotów powiązanych z Koreą Północną,
• ryzyko dostępu do danych, kodu źródłowego i środowisk chmurowych.

Kontekst / historia

Sprawa wpisuje się w szerszy trend wykorzystywania pracy zdalnej do omijania ograniczeń geograficznych i organizacyjnych. W latach 2021–2024 uczestnicy procederu mieli przejąć tożsamości ponad 80 osób w USA i użyć ich do uzyskania zatrudnienia w dziesiątkach firm z różnych sektorów.

Z dokumentów sądowych wynika, iż pośrednicy działający na terenie Stanów Zjednoczonych utrzymywali fizyczną infrastrukturę wspierającą zdalny dostęp. W czerwcu 2025 roku amerykańskie służby przeprowadziły szeroko zakrojone działania przeciwko podobnym operacjom, zabezpieczając dziesiątki lokalizacji w wielu stanach. Najnowsze wyroki potwierdzają, iż tego typu schematy są traktowane nie tylko jako oszustwo finansowe, ale także jako zagrożenie dla bezpieczeństwa narodowego i integralności procesów zatrudniania.

Analiza techniczna

Techniczny rdzeń operacji opierał się na kilku współzależnych warstwach. Pierwszą było przejęcie lub wykorzystanie cudzych danych identyfikacyjnych, aby przejść procedury KYC, onboardingu i weryfikacji HR. Drugą warstwą była infrastruktura pośrednicząca w USA, gdzie fizycznie utrzymywano laptopy należące do firm-ofiar.

Urządzenia były podłączane do sieci i konfigurowane tak, aby osoby przebywające za granicą mogły uzyskiwać do nich zdalny dostęp, zachowując pozory pracy wykonywanej z terytorium Stanów Zjednoczonych. Taki model ograniczał ryzyko wykrycia anomalii geolokalizacyjnych, niespójności adresów IP oraz innych sygnałów typowych dla logowań spoza dozwolonego regionu.

Dodatkowo przestępcy wykorzystywali firmy fasadowe, które miały uwiarygadniać relacje biznesowe i sam proces zatrudnienia. Konta finansowe tych podmiotów odbierały płatności od firm, po czym środki były przekazywane dalej, w tym poza granice USA.

Z perspektywy bezpieczeństwa przedsiębiorstw jest to model szczególnie groźny, ponieważ łączy cyberoszustwo z legalnie przyznanym dostępem. Atakujący nie muszą stosować klasycznych exploitów czy malware, jeżeli skutecznie przejdą proces rekrutacyjny i uzyskają laptop służbowy, konto VPN, dostęp do komunikatorów, repozytoriów kodu, systemów zgłoszeniowych, środowisk chmurowych lub danych klientów.

Konsekwencje / ryzyko

Ryzyko wynikające z takich operacji wykracza poza bezpośrednie straty finansowe. Organizacja może nieświadomie zatrudnić osobę działającą pod fałszywą tożsamością, co podważa fundament zaufania w modelu pracy zdalnej. Legalnie wydany sprzęt i poprawnie utworzone konto użytkownika utrudniają detekcję, ponieważ aktywność może wyglądać jak zwykła praca zatrudnionego specjalisty.

Zagrożenie obejmuje również dane wrażliwe, własność intelektualną, kod źródłowy, dane osobowe oraz informacje o klientach i partnerach. W środowiskach DevOps i cloud access choćby ograniczone uprawnienia mogą prowadzić do eskalacji dostępu, wycieku sekretów, tokenów API i kluczy uwierzytelniających.

• utrata kontroli nad kontami i urządzeniami służbowymi,
• wyciek danych i własności intelektualnej,
• naruszenie wymagań regulacyjnych i obowiązków notyfikacyjnych,
• straty reputacyjne oraz długoterminowe skutki operacyjne.

Rekomendacje

Organizacje powinny traktować rekrutację zdalną jako element strategii bezpieczeństwa, a nie wyłącznie funkcję HR. Niezbędne są wielowarstwowe kontrole tożsamości kandydatów, obejmujące weryfikację dokumentów, spójność danych osobowych, historię zatrudnienia oraz niezależne potwierdzanie referencji.

W przypadku stanowisk technicznych warto rozszerzyć proces o analizę sygnałów ryzyka związanych z lokalizacją, używanym sprzętem i niespójnościami komunikacyjnymi. Po stronie technicznej najważniejsze znaczenie mają także kontrole dostępu i monitoring zachowań użytkowników.

• egzekwowanie silnego uwierzytelniania wieloskładnikowego,
• stosowanie zasady najmniejszych uprawnień,
• monitorowanie logowań pod kątem nietypowych wzorców czasowych i sieciowych,
• wykrywanie zdalnego sterowania urządzeniami oraz anomalii endpointowych,
• segmentacja dostępu do repozytoriów, środowisk chmurowych i produkcyjnych,
• okresowa recertyfikacja uprawnień pracowników zdalnych.

Istotne jest również powiązanie telemetryki z systemów HR, IAM, EDR, MDM i poczty elektronicznej. Dopiero korelacja danych z różnych warstw pozwala wykryć sytuacje, w których formalnie poprawne konto pracownicze zachowuje się nietypowo. Firmy powinny ponadto przygotować playbooki reagowania na incydenty związane z fałszywym zatrudnieniem, obejmujące blokadę kont, analizę historii dostępu, rotację sekretów oraz ocenę wpływu na dane i procesy biznesowe.

Podsumowanie

Skazanie dwóch pośredników działających na terenie USA pokazuje, iż schemat północnokoreańskich „pracowników IT” jest dojrzałym modelem operacyjnym łączącym oszustwo personalne, infrastrukturę zdalnego dostępu i transfer środków finansowych. Dla firm najważniejszy wniosek jest prosty: zagrożenie może rozpocząć się już na etapie rekrutacji, onboardingu i wydawania sprzętu, zanim pojawią się klasyczne oznaki włamania.

W realiach rozproszonej pracy kontrola tożsamości, monitoring dostępu oraz ścisła kooperacja między HR, IT i zespołami bezpieczeństwa stają się podstawowym mechanizmem obrony przed tego rodzaju operacjami.

Źródła

• SecurityWeek: Two North Korean IT Worker Scheme Facilitators Jailed in the US
• U.S. Department of Justice: materiały dotyczące schematu północnokoreańskich pracowników IT
• FBI: ostrzeżenia i wytyczne dotyczące oszustw z udziałem północnokoreańskich pracowników IT
• U.S. Department of the Treasury: zasoby dotyczące cyberzagrożeń i sankcji związanych z KRLD
• CISA: wytyczne dotyczące aktywności cybernetycznej powiązanej z Koreą Północną