בארה"ב זה כבר סוד גלוי, שנחשף לפרטיו בספטמבר אשתקד, בדו"ח חטיבת הסייבר של גוגל קלאוד: במשך כעשור מכשירים שירותי המודיעין של צפון קוריאה מומחי הייטק צעירים ומשבצים אותם בתוך חברות מערביות, תוך ניצול העבודה מהבית בעקבות הקורונה, ושימוש וירטואוזי ביכולות החדשות של הבינה המלאכותית.
מצפון קוריאה, דרך סין ורוסיה – ישירות אל חברות הייטק מערביות
מגזין הטכנולוגיה Wired, שהלך בעקבות הדו"ח, ליקט באחרונה כמה דוגמאות שומטות לסת, אשר שופכות אור על שיטות החדירה וההתחזות, על רמת העורמה וגם על היקף סכומי העתק שהעובדים-הסוכנים הללו הצליחו להזרים למדינה הקומוניסטית המבודדת.
הצעירים הצפון קוריאנים, מתברר, נשלחים לחו"ל, לעתים קרובות לסין או לרוסיה, בצוותים של 10 עד 20, ובדרך-כלל גרים ועובדים בדירה אחת. הם סורקים את האינטרנט בחיפוש אחר רשימות דרושים בחברות הייטק מערביות, לרוב בהנדסת תוכנה.
ההעדפה היא לתפקידים שניתנים לביצוע מרחוק, עם גישה טובה לנתונים ולמערכות — ועם כמה שפחות אחריות. הם מגישים מועמדות למשרות אלה, תוך שימוש בזהויות גנובות או מזויפות, כאשר חלקם נעזרים ב-AI כדי לעבור מבחני כתיבת קוד, ראיונות וידאו ובדיקות רקע. לפי הרשויות בארה"ב, לפחות 300 חברות אמריקאיות נפלו עד כה בפח, כולל יצרנית תעופה וחלל, יצרנית מכוניות אמריקאית אייקונית, חנות קמעונאית יוקרתית ואחת מחברות המדיה והבידור המוכרות ביותר בעולם.
ארוחת בוקר מפלילה
Wired מספר, למשל, על סיימון וויקמנס, 27, מייסד סטארט-אפ בשם C.Side, שחיפש במיוחד מתכנתים שאפתניים שרוצים לעבוד מהבית. המועמד "תומאס מטנסי", למשל, שלמד מדעי המחשב באוניברסיטת מיזורי, נראה מושלם לפי קורות החיים שלו — מתכנת עם ותק של 8 שנים, שעבר בקלילות מבחן קידוד מקדים. וויקמנס הופתע כשמצא עצמו בראיון זום עם צעיר בעל מבטא אסייתי כבד; חיבור האינטרנט שלו היה קטוע והוא נשמע כאילו הוא יושב בחלל גדול וצפוף.
בתוך זמן קצר גילה היזם כי הוא מוצף במועמדים דומים. כאשר בחן לעומק את מבחני הקוד שלהם, הוא ראה שרובם השתמשו ברשת פרטית וירטואלית, VPN, המאפשרת להסוות את המיקום האמיתי של המחשב.
כש"מועמד" כזה מקבל הצעת עבודה הוא זקוק בכל זאת לסוכן פעיל, המתגורר במדינה שבה הוא טוען שהוא מתגורר: עובד מזויף הרי לא יכול לעשות שימוש בכתובות הפיקטיביות או בחשבונות הבנק המקושרים לתעודות הזהות הגנובות שלו. הוא גם לא יכול להיכנס לרשתות החברה מחו"ל מבלי לעורר חשד מידי. לשם כך יש צורך במתווך מקומי מרושת היטב.
4 צפייה בגלריה
מבוקשים: מודעה של משרד המשפטים האמריקאי, הקוראת למידע על המתחזים מצפון קוריאה
(משרד המשפטים האמריקאי)
בחודש יוני הקרוב צפוי להיגזר דינה של סוכנת כזו, כריסטינה מארי צ'פמן, אמריקאית בת 49, חובבת קיי-פופ (מוזיקת פופ קוריאנית, י"ו) מליצ'פילד פארק, אריזונה. צ'פמן גויסה במרץ 2020 דרך הודעה תמימה בלינקדאין, וניהלה בביתה מעין חווה של מחשבים ניידים. המחשבים האישיים הללו נשלחו עבור ה"עובדים" הפיקטיביים על-ידי החברות שהעסיקו אותם.
באמצעות הפעלתם מביתה היא הצליחה ליצור עבור הקוריאנים מצג שווא כאילו הם פועלים מתוך ארה"ב, ולקבל גישה לרשתות הפנימיות של החברות. במחשבי חברה אחרים, ששלחה למפעיליה בחו"ל, הותקנה תוכנה המדווחת שהם פועלים כאילו מארה"ב.
צ'פמן גם סייעה ל"עובדים" להשתמש בזהויות גנובות של עשרות אזרחים אמריקאים כדי להגיש מועמדות למשרות. היא דאגה שמשכורותיהם יועברו לחשבונות בנק אמריקאיים בשליטתה, ואף הגישה עבורם דיווחי מס כוזבים. חלק ניכר מהכספים, שהצטברו ליותר מ־17.1 מיליון דולר, הועבר לצפון קוריאה. התביעה בארה"ב טוענת, כי הובטח לה כ־30% מהכסף.
צ'פמן, אגב, נלכדה ב־2023 רק לאחר שבסרטון טיקטוק צילמה את עצמה אוכלת ארוחת בוקר תוך כדי תנועה, כשהמצלמה לוכדת ברקע עשרות מחשבים ניידים פתוחים מכוסים בפתקים דביקים. כל פתק כלל את זהותו ומעסיקו של עובד מזויף. המקרה שלה הוא רק אחד משורת תביעות דומות נגד כחמישה אזרחים אמריקאיים אחרים שנלכדו באחרונה, אשר עושות בימים אלה את דרכן לבתי משפט בארה"ב.
מענה נקמני
צפון קוריאה מוכרת במערב כיצרנית מובילה של מומחי סייבר. סוכנויות ממשלתיות, כולל "לשכת הסיור הכללית", שירות המודיעין החשאי, מגייסות לשם כך את הבוגרים בעלי הציונים הגבוהים במדינה. מובטח להם שכר טוב וגישה בלתי מוגבלת לאינטרנט לא מצונזר.
הצוותים המיוחדים הללו מבצעים עסקאות הונאה, מפעילים תוכנות כופר, וגורמים נזקים במיליארדים. כיום, הכלי הרווחי ביותר שלהם הוא גניבת מטבעות קריפטו. על פי דו"ח עדכני של שירות המודיעין בדרום קוריאה, בשנת 2024 עבדו בחטיבות הסייבר של צפון קוריאה, כולל מתחזים, גנבי קריפטו והאקרים, כ-8,400 איש.
למוד ניסיון, וויקמנס הכועס פיתח מענה נקמני למועמדים מתחזים: הוא יצר דף אינטרנט שנראה כמו הערכת כתיבת קוד סטנדרטית, שאותו הוא שולח למועמדים כאלה. כשהם מתחילים את המבחן, הדפדפן שלהם מקפיץ דפי רשת שכוללים מידע מפורט על דרכים לערוק מצפון קוריאה. הוא לא רשם הצלחה גדולה.
