Kim Dzsongun távmunkásoknak álcázott kémek ezreit vetette be világszerte, Észak-Korea így pénzhez és titkos információkhoz is jutott

Az Egyesült Államok hatóságai nemrég kiterjedt észak-koreai csalóhálózatot lepleztek le. Az Igazságügyi Minisztérium közleménye szerint csak 2025 júniusában 16 szövetségi államban, összesen 29 helyszínen tartottak razziát, amelynek során lefoglaltak több mint 200 laptopot, zároltak 29 pénzmosásra használt bankszámlát, és lekapcsoltak 21 honlapot. Mint kiderült, a kommunista diktatúrát szolgáló informatikusok ezeknek az eszközöknek a segítségével épültek be amerikai nagyvállalatokhoz, akiknél távmunkában dolgoztak.

A Politico úgy tudja, a hamis személyazonosságot használó ipari kémek száznál több, gyakran Fortune 500-as amerikai céghez jutottak be, köztük vezető technológiai vállalatokhoz is. A csalás célja az volt, hogy a fizetéseket, egyéb juttatásokat és vállalati titkokat Phenjanba irányítsák át, ezzel is támogatva Kim Dzsongun fegyverprogramjait.

Ez a rejtett ügynökhálózat világszerte beszivárgott az IT-szektorba, és évi több százmillió dolláros nagyságrendben termelhet bevételt Phenjannak. Az észak-koreai rezsim sokféleképpen tudja hasznosítani az IT-s kakukktojások által lopott bizalmas vállalati adatokat is: saját fejlesztésekbe integrálja vagy a feketepiacon értékesíti őket, esetleg váltságdíjat követel értük az eredeti tulajdonosoktól.

Messze nem az első, csak az eddigi legnagyobb lebukásról van szó

Kim Dzsongun diktatúrája nem először bukott le azzal, hogy hamis személyazonosságú személyeket juttat be nyugati vállalatok kollektívájába. A független forrásból származó észak-koreai hírekre specializálódott NK News szerint évek óta ismertek olyan jelentések, amelyek szerint a diktatúra képzett IT-szakembereket alkalmaz külföldi devizabevétel szerzésére. Egy ENSZ-szakértői jelentés már 2018-ban figyelmeztetett rá, hogy észak-koreai programozók külföldi projekteken dolgozva igyekeznek kijátszani a szankciókat. Nem sokkal később, 2019-ben felröppentek az első hírek arról is, hogy észak-koreaiak online szabadúszó platformokon vállalnak távmunkát, persze hamis profilokkal.

A jelenség 2020-tól szabadult el igazán: a Microsoft friss riportja szerint attól az évtől kezdve az egész nemzetközi kiberbiztonsági közösség érzékeli, hogy az észak-koreai IT-munkavállalók ezrével jelentkeznek távoli állásokra, szerte a világon. Az USA kormánya 2020 és 2022 között már 300 olyan, különböző iparágakban érdekelt amerikai vállalatról (köztük számos Fortune 500-asról) tudott, akik tudtukon és akaratukon kívül foglalkoztattak észak-koreai szakembereket. Ezek a kémek nem mellesleg két kormányügynökséghez is megkíséreltek bejutni.

Hogyan férkőznek be az észak-koreaiak az amerikai cégekhez?

A csalárd jelentkezések közvetítő hálózatokon keresztül jutottak el a kiszemelt vállalatokhoz. Az észak-koreai informatikusok hamis önéletrajzokkal és lopott személyazonosságokkal pályáztak home office állásokra az Egyesült Államokban. Gyakran úgy tüntették fel magukat, mintha az USA-ban vagy más országban – de nem Észak-Koreában – élő szakemberek lennének, és a nagyobb hitelesség kedvéért fedőcégeket is létrehoztak.

A Fox News riportja hangsúlyozza: ehhez amerikai közreműködőket toboroztak, akik segítették őket az álláskeresésben és a lebonyolításban. A bűntársak fiktív vállalati weboldalakat készítettek, bank- és fizetési fiókokat nyitottak, illetve „laptop farmokat”, vagyis olyan telephelyeket üzemeltettek, ahol az amerikai cégektől kapott munkaeszközök (céges laptopok) helyben, az USA területén működhetnek – pedig közben távolról csatlakoznak rájuk észak-koreai ipari kémek. A lebukás elkerülésére a csalók speciális hardvereket is alkalmaztak: a laptopokat olyan KVM (keyboard-video-mouse) kapcsolókkal látták el, amelyek lehetővé tették a távoli vezérlést. Íme egy példa, hogy hogyan is néz ki ez a megoldás a gyakorlatban:

#fosdem laptop render farm looking glorious again! pic.twitter.com/1ktSow0Fi4

— Tom Wilkie (@tom_wilkie) February 1, 2020

Ezekkel a módszerekkel elérték, hogy a távmunkára felvett kollégáról az összes cég rendszere elhitte: az illető fizikai valójában az Egyesült Államokból dolgozik, pedig Phenjanból vagy más külföldi helyszínről jelentkezett be.

De mégis, hogyan mentek át az állásinterjún és tartottak meg bizalmas pozíciókat?

A Tom’s Hardver elemzése rámutat: a phenjani kémek gondosan felépített hamis személyazonossággal és történettel jutottak át a felvételi interjúkon és próbafeladatokon. Külsőre semmi sem árulkodott a valódi származásukról: gyakran angolul folyékonyan beszélő, amerikai névvel bemutatkozó szakembereknek adták ki magukat. Volt példa arra is, hogy egy HR-es furcsának találta a jelölt akcentusát, de csak utólag jött rá, hogy észak-koreai lehetett, és addigra már felvették a csapatba. Még az olyan nagyvállalatok is jelezték, hogy találkoztak észak-koreai pályázókkal a jelentkezők között, mint a Google, bár ők végül nem alkalmazták ezeket a személyeket.

A Cyberscoop által idézett szakértők szerint gyakorlatilag az összes nagyobb amerikai vállalat szembesült már ezzel a problémával. A Fortune 500 cégek közül szinte mindegyikhez jelentkezett észak-koreai IT-munkás, és sok esetben fel is vették őket. A Mandiant és a Google kiberbiztonsági szakemberei közben arról számoltak be, hogy ezek az emberek számos vállalatnál akár hónapokig dolgoztak, sőt volt, ahol „a csapat legerősebb tagjaként” tartották számon őket.

Az észak-koreai ügynökök meglepően sokáig képesek eltitkolni az igazi kilétüket. Ehhez kifinomult technológiai eszközöket alkalmaznak: a toborzás során mesterséges intelligenciát vetnek be, illetve módosítják a hamis személyazonosító okmányokon lévő fotókat, úgy, hogy azok véletlenül se egyezzenek meg valós személy arcával. A Microsoft kiberbiztonsági részlege beszámolt olyan esetről is, hogy az észak-koreai távmunkások AI-alapú képszerkesztő megoldásokkal cserélték le az ellopott személyazonosító dokumentumokon szereplő arcképeket, illetve generált profilképeket használtak a közösségi oldalaikon.

És ezzel még nincs vége: a geolokációs ellenőrzések kijátszására virtuális magánhálózatokat (VPN) és távoli elérésű adminisztrációs eszközöket (RMM) használtak. A VPN-ekkel azt a látszatot keltették az internetes forgalmukról, mintha az USA-ból vagy más, munkavállalás szempontjából elfogadható országból jelentkeznének be, míg az RMM eszközök segítségével távolról is teljes értékűen tudták vezérelni a céges gépeiket. Mivel a laptop farmokat amerikai területen hozták létre, a rendszer naplózása számára a bejelentkezések és a munkavégzés helye amerikai IP-címekről történt.

Az észak-koreai ügynökök alapos munkát végeztek a közösségi médiában is, hogy a HR-osztályok előtt fenntartsák a hitelesség látszatát. Gondoskodtak az online jelenlétük következetességéről, például meggyőző, rendszeresen frissülő LinkedIn-profilokkal vagy komplett szakmai előélettel és ajánlásokkal. A Fortune kiemeli: némelyik kém még kisebb munkákat is elvállalt szabadúszó platformokon (pl. Fiverr, Upwork), hogy referenciákat és értékeléseket gyűjtsön, mielőtt nagyobb céghez jelentkezett. Az állásinterjúkon aztán – amelyeket a legtöbb esetben videókonferencia alkalmazásokon (Zoom, Webex) keresztül bonyolítanak – igyekeztek kerülni minden gyanús jelet, például technikai hibát vagy időeltolódás miatti anomáliát. Mindezekkel a módszerekkel az észak-koreaiak ügyesen beolvadtak a globális digitális munkaerőpiacba, és sokáig észrevétlenek tudtak maradni.

Phenjan célja már nem csak a pénzszerzés, hanem az adatlopás

A rejtve dolgozó észak-koreai IT-szakemberek elsődleges küldetése az volt, hogy kemény valutát (pl. dollárt, eurót) szerezzenek az országnak. A program mögött nyilvánvalóan Kim Dzsongun rezsimje áll, amely arra utasította ezeket a munkásokat, hogy a külföldön megkeresett fizetésük túlnyomó részét juttassák vissza Észak-Koreába. Az Egyesült Államok Igazságügyi Minisztériuma szerint ezt a csalási sémát kifejezetten úgy alakították ki, hogy a nemzetközi szankciókat kijátszva finanszírozza a phenjani vezetés tiltott programjait, beleértve a nukleáris fegyver- és rakétafejlesztéseket.

Az Axios közben egy friss jelentésre alapozva arra is felhívja a figyelmet, hogy bár eleinte csak a pénzszerzésen volt a hangsúly, időközben kibővült a küldetés: az észak-koreai operátoroknak már az is feladatuk, hogy a célba vett cégekről érzékeny információkat és szellemi tulajdont gyűjtsenek. Greg Levesque, a Strider kiberbiztonsági cég vezetője kifejtette, hogy az utóbbi időben a rezsim felismerte a lehetőséget az ipari kémkedésre, így az ügynököknek jelenteniük kell minden értékes adatot, amihez hozzáférnek a munkahelyükön.

Az észak-koreai állam jelentős bevételhez jutott a távmunka-programokból – írja a Yahoo az ENSZ egyik szakértői csoportjára hivatkozva, akik szerint a távoli IT-munkások révén a rezsim évi 250–600 millió dollár (85-205 milliárd forint) bevételre tehet szert. Ez egyáltalán nem utópisztikus összeg, hiszen, ha belegondolunk: ezer jól képzett észak-koreai informatikus évi százezer dollárért dolgozva akár 100 millió dollár tiszta bevételt jelenthet Phenjannak, ráadásul a mérnökök java egyszerre több állást is betölthet, így valószínűleg még magasabb összeget utal haza.

A lebukott kémek utáni nyomozások alapján elképesztő összegekről lehet szó. Egy nemrég született vádirat szerint csupán két New Jerseyben élő bűnsegéd hálózatán keresztül néhány év alatt legalább ötmillió dollárnyi bért csatornáztak ki Phenjanba. Volt továbbá egy olyan amerikai magánszemély is, akinek az otthoni „laptop farmján” keresztül 17,1 millió dollárnyi bért utaltak ki észak-koreai dolgozóknak. Ha mindez nem lenne elég, az ügynökök lopni sem félnek: egy atlantai cég alkalmazottjaiként közel 900 ezer dollár értékű kriptovalutát tulajdonítottak el, majd mostak tisztára.

A rezsim a nemzetközi szankciók miatt csak komoly nehézségek árán tud devizához jutni, ezért az ehhez hasonló titkos műveletek kritikus pénzügyi forrást jelenthetnek Kim Dzsongun rendszere számára. A befolyt dollármilliók egy részét valószínűleg feketepiaci importcikkek, alkatrészek és alapanyagok beszerzésére költik (amelyeket aztán nukleáris és rakétafejlesztésekhez használnak fel), míg egy másik része nyilván a rezsim elitjét gazdagítja.

De nem csak a kizsákmányolt ügynökök fizetései hoznak bevételt, hanem az eltulajdonított vállalati adatok is. Számos esetben derült fény ipari kémkedésre és adatlopásra, lévén a beépült észak-koreai IT-munkások érzékeny adatokhoz és forráskódokhoz is hozzáfértek. Egy esetben például az operátor egy kaliforniai védelmi beszállító cég hálózatából töltött le szigorúan titkos fejlesztési dokumentumokat, amelyek nemzetbiztonsági szempontból jelentős, fegyverrendszerekkel kapcsolatos műszaki adatokat tartalmaztak.

Összességében tehát elmondható, hogy az észak-koreai ügynökök nem pusztán anyagi haszonért dolgoztak az amerikai cégeknél, hanem hozzáfértek értékes belső információkhoz: technológiai eredményekhez, kutatás-fejlesztési anyagokhoz vagy pénzügyi adatokkal kapcsolatos titkokhoz. Ezek birtokában komoly károkat okozhattak a vállalatoknak és nemzetbiztonsági kockázatot is jelentettek.

Mire használhatják az ipari kémkedéssel szerzett adatokat?

A bizalmas információk többféle módon is Észak-Korea javára válhatnak. Először is, a katonai és technológiai titkok felhasználhatók a hazai fegyverprogramok fejlesztésében. Ha egy észak-koreai mérnök például egy amerikai AI-fejlesztéssel foglalkozó cégnél jut hozzá új algoritmusokhoz vagy szoftverkódokhoz, azt Phenjanban beépíthetik a saját katonai projektjeikbe – ezzel éveket és jelentős erőforrásokat spórolhatnak meg a kutatás-fejlesztésben.

Másodszor, az üzleti szférából ellopott adatok révén Észak-Korea gazdasági előnyre tehet szert. A céges titkok – legyenek azok gyártási folyamatok, képletek vagy stratégiai tervek – feketepiaci értékkel is bírhatnak. A rezsim eladhatja ezeket az információkat más, szankciókkal sújtott országoknak vagy olyan szereplőknek, akiket érdekel a nyugati know-how. Így az ipari kémkedés közvetetten is pénzre váltható.

Továbbá, ahogy a fentebb írt esetek mutatják, a megszerzett adatok alkalmasak zsarolásra is. Ha egy észak-koreai ügynök a lebukás előtt lemásolta egy vállalat ügyféladatbázisát vagy pénzügyi kimutatásait, akkor ezeket felhasználva megpróbálhat váltságdíjat követelni a cég vezetésétől – mondván, ha nem fizetnek, kiszivárogtatja az érzékeny információkat. Ilyen fenyegetésekre a Cyberloop szerint több példa is akadt: az elbocsátott észak-koreai alkalmazottak új személyazonosság mögé bújva hackernek adták ki magukat, és azzal hitegették a céget, hogy kívülről törtek be a rendszerbe, miközben valójában belső munkatársként lopták el az adatokat.

Végül, az ipari kémkedés hozadékát propagandacélokra is felhasználhatja a rezsim. Egy-egy nyugati technológiai áttörés lemásolásával demonstrálhatják a népüknek és a világnak, hogy Észak-Korea „lépést tart” a fejlett országokkal.

Kifinomult kémkedéssel fosztogatják a nyugati cégeket, de időben lebuktathatók

A szakértők és a hatóságok egyaránt hangsúlyozzák, hogy fokozott éberségre és új módszerekre van szükség a hasonló beszivárgások megelőzéséhez. A vállalatoknak szigorúbb előzetes ellenőrzést kell bevezetniük az állásra jelentkezők körében. A Microsoft biztonsági kutatói szerint érdemes alaposan ellenőrizni a jelöltek digitális előéletét, például azt, hogy valódiak-e a közösségi profiljaik, következetes-e a jelenlétük a platformokon, és stimmelnek-e az elérhetőségeik.

Fontos továbbá a személyazonosság hitelesítése. A toborzók javasolják, hogy legalább egy alkalommal élő videohívás keretében is igazoltassák a jelöltet, kérve, hogy mutasson be azonosító okmányt. Bár ez sem nyújt százszázalékos védelmet (hiszen a dokumentumok lehetnek hamisak), azért megnehezíti a csalók dolgát. Emellett érdemes feltenni olyan keresztkérdéseket az interjún, amelyekkel kiszűrhető, ha a pályázó nem ismeri a helyi viszonyokat – például rákérdezni egy városra vagy egy kulturális sajátosságra, amit az adott nemzet állampolgára biztosan tud, de egy potenciális észak-koreai ügynök valószínűleg nem.

Technikai oldalon is vannak megoldások. Több kiberbiztonsági cég fejleszt olyan automatizált ellenőrző eszközöket, amelyek a beadott önéletrajzokat és jelentkezéseket elemzik, és jelzik, ha hamis vagy megtévesztő információk szerepelnek bennük. Ilyen lehet például a képesítések és munkatapasztalatok kereszthivatkozása nyilvános adatbázisokkal vagy a túlzottan általános, sablonos nyelvezet felismerése.

A már felvett távmunkások esetében pedig a rendszerfelügyelet szigorítása lehet a kulcs. A cégeknek érdemes figyelniük az alkalmazottaik bejelentkezési mintáit és hálózati aktivitásait. Ha például valaki következetesen VPN-ről csatlakozik be, vagy rendszeresen szokatlan időpontokban (helyi idő szerint hajnalban) aktív, az intő jel lehet. Ugyancsak feltűnő, ha egy munkavállaló indokolatlanul nagy mennyiségű adatot tölt le a belső hálózatról. Az ilyen anomáliákra célszerű riasztórendszereket beállítani.

Az FBI mindezek mellett javasolja például, hogy a cégek utasítsák el, ha egy munkavállaló kriptovalutában kér fizetést és mindenképpen gyanakodjanak, ha az illető nem tud fizikai küldeményt fogadni a dokumentumaiban szereplő postacímen. A hatóság szerint ugyancsak érdemes lehet bevezetni a biometrikus azonosítást a céges hálózatokon, valamint tüzetesen ellenőrizni a jelentkezők előéletét, nem csak a szakmai múlt, hanem a tanulmányok alapján is.