Nomes e documentos falsos: como os norte-coreanos procuram empregos remotos em empresas de tecnologia ocidentais

Londres:

Usando nomes falsos, perfis falsos no LinkedIn, documentos de trabalho falsificados e guiões de entrevistas simulados, os trabalhadores norte-coreanos de TI que procuram emprego em empresas tecnológicas ocidentais estão a utilizar subterfúgios sofisticados para serem contratados.

Conseguir um emprego fora da Coreia do Norte para ganhar secretamente divisas para o país isolado exige estratégias altamente desenvolvidas para convencer os gestores de contratação ocidentais, de acordo com documentos revistos pela Reuters, uma entrevista com um antigo trabalhador norte-coreano de TI e investigadores de segurança cibernética.

A Coreia do Norte enviou milhares de trabalhadores de TI para o estrangeiro, um esforço que se acelerou nos últimos quatro anos, para trazer milhões para financiar o programa de mísseis nucleares de Pyongyang, segundo os Estados Unidos, a Coreia do Sul e as Nações Unidas.

“As pessoas são livres para expressar ideias e opiniões”, diz um roteiro de entrevista usado por desenvolvedores de software norte-coreanos que oferece sugestões sobre como descrever uma “boa cultura corporativa” quando solicitado. Expressar livremente os pensamentos pode resultar em prisão na Coreia do Norte.

Os scripts, totalizando 30 páginas, foram descobertos por pesquisadores da Palo Alto Networks, uma empresa de segurança cibernética dos EUA que descobriu um conjunto de documentos internos online que detalham o funcionamento da força de trabalho remota de TI da Coreia do Norte.

Os documentos contêm dezenas de currículos fraudulentos, perfis online, notas de entrevistas e identidades falsas que os trabalhadores norte-coreanos usaram para se candidatarem a empregos no desenvolvimento de software.

A Reuters encontrou mais provas em dados vazados da darkweb que revelaram algumas das ferramentas e técnicas usadas pelos trabalhadores norte-coreanos para convencer as empresas a empregá-los em empregos em lugares tão distantes como Chile, Nova Zelândia, Estados Unidos, Uzbequistão e Emirados Árabes Unidos.

Os documentos e dados revelam o intenso esforço e subterfúgios empreendidos pelas autoridades norte-coreanas para garantir o sucesso de um esquema que se tornou uma tábua de salvação vital de moeda estrangeira para o regime sem dinheiro.

A missão da Coreia do Norte na ONU não respondeu a um pedido de comentário.

Os trabalhadores remotos de TI podem ganhar mais de dez vezes o que ganha um trabalhador norte-coreano convencional que trabalha no exterior na construção ou em outros trabalhos manuais, disse o Departamento de Justiça dos EUA (DOJ) em 2022, e equipes deles podem ganhar coletivamente mais de US$ 3 milhões por ano.

A Reuters não conseguiu determinar quanto o esquema gerou ao longo dos anos.

Alguns dos roteiros, elaborados para preparar os trabalhadores para as perguntas das entrevistas, contêm desculpas para a necessidade de trabalhar remotamente.

“Richard”, um desenvolvedor sênior de software embarcado, disse: “Eu (voei) para Cingapura há várias semanas. Meus pais pegaram Covid e eu (decidi) ficar com familiares por um tempo. Agora, estou planejando voltar para Los Angeles Angeles em três meses. Estou pensando que poderia começar a trabalhar remotamente agora mesmo, então estarei a bordo quando voltar para Los Angeles.”

Um funcionário norte-coreano de TI que desertou recentemente também examinou os documentos e confirmou sua autenticidade à Reuters: “Criávamos de 20 a 50 perfis falsos por ano até sermos contratados”, disse ele.

Ele viu os roteiros, dados e documentos e disse que era exatamente a mesma coisa que vinha fazendo porque reconheceu as táticas e técnicas utilizadas.

“Assim que fosse contratado, criaria outro perfil falso para conseguir um segundo emprego”, disse o trabalhador, que falou sob condição de anonimato, citando preocupações de segurança.

Em outubro, o DOJ e o Federal Bureau of Investigation (FBI) apreenderam 17 domínios de sites que, segundo eles, foram usados ​​por trabalhadores de TI norte-coreanos para fraudar empresas e US$ 1,5 milhão em fundos.

Os desenvolvedores norte-coreanos que trabalham em empresas norte-americanas se esconderam atrás de contas de e-mail e redes sociais pseudônimas e geraram milhões de dólares por ano em nome de entidades norte-coreanas sancionadas por meio do esquema, disse o DOJ.

“Existe um risco para o governo da Coreia do Norte, uma vez que estes trabalhadores privilegiados estão expostos a realidades perigosas sobre o mundo e ao atraso forçado do seu país”, disse Sokeel Park of Liberty na Coreia do Norte (LINK), uma organização que trabalha com desertores.

DINHEIRO DURO

No ano passado, o governo dos EUA disse que os trabalhadores norte-coreanos de TI estavam localizados principalmente na China e na Rússia, alguns na África e no Sudeste Asiático, e podem ganhar cada um até US$ 300.000 anualmente.

De acordo com a sua experiência, o antigo trabalhador de TI disse que se espera que todos ganhem pelo menos 100.000 dólares, dos quais 30-40% são repatriados para Pyongyang, 30-60% gastos em despesas gerais e 10-30% embolsados ​​pelos trabalhadores.

Ele estimou que havia cerca de 3.000 outros como ele no exterior e outros 1.000 baseados na Coreia do Norte.

“Trabalhei para ganhar moeda estrangeira”, disse ele à Reuters. “Isso difere entre as pessoas, mas, basicamente, depois de conseguir um emprego remoto, você pode trabalhar por apenas seis meses ou por três a quatro anos.”

“Quando você não consegue encontrar um emprego, você é freelancer.”

Os pesquisadores, que fazem parte da divisão de pesquisa cibernética da Unidade 42 de Palo Alto, fizeram a descoberta ao examinar uma campanha de hackers norte-coreanos que tinha como alvo desenvolvedores de software.

Um dos hackers deixou os documentos expostos em um servidor, disse a Unidade 42, indicando que há ligações entre os hackers da Coreia do Norte e seus funcionários de TI, embora o desertor tenha dito que as campanhas de espionagem eram para um grupo seleto: “Os hackers são treinados separadamente. Essas missões são não é dado a pessoas como nós”, disse ele.

Ainda assim, há cruzamento. O DOJ e o FBI alertaram que os trabalhadores norte-coreanos de TI podem usar o acesso para hackear seus empregadores, e alguns dos currículos vazados indicavam experiência em empresas de criptomoeda, uma indústria que há muito é alvo de hackers norte-coreanos.

IDENTIDADES FALSAS

Dados da Constella Intelligence, uma empresa de investigação de identidade, mostraram que um dos trabalhadores tinha contas em mais de 20 sites de freelancers nos Estados Unidos, Grã-Bretanha, Japão, Uzbequistão, Espanha, Austrália e Nova Zelândia.

O trabalhador não respondeu a um pedido de comentário enviado por e-mail.

Os dados, coletados a partir de vazamentos na darkweb, também revelaram uma conta em um site que vende modelos digitais para criar documentos de identificação falsos de aparência realista, incluindo carteiras de motorista, vistos e passaportes dos EUA, descobriu a Reuters.

Os documentos descobertos pela Unidade 42 incluíam currículos de 14 identidades, um green card americano forjado, guiões de entrevistas e provas de que alguns trabalhadores tinham comprado acesso a perfis online legítimos para parecerem mais genuínos.

O “Richard” em Cingapura que procurava trabalho remoto em TI parecia se referir a um perfil forjado com o nome de “Richard Lee” – o mesmo nome no green card. O Departamento de Segurança Interna dos EUA não respondeu a um pedido de comentário.

A Reuters encontrou uma conta no LinkedIn de Richard Lee com a mesma foto de perfil que listou experiência na Jumio, uma empresa de verificação de identidade digital.

“Não temos nenhum registro de que Richard Lee tenha sido funcionário atual ou ex-funcionário da Jumio”, disse um porta-voz da Jumio. “Jumio não tem nenhuma evidência que sugira que a empresa já teve um funcionário norte-coreano em sua força de trabalho”.

A Reuters enviou uma mensagem à conta do LinkedIn solicitando comentários, mas não obteve resposta. O LinkedIn removeu a conta após receber pedidos de comentários da Reuters.

“Nossa equipe usa informações de diversas fontes para detectar e remover contas falsas, como fizemos neste caso”, disse um porta-voz.

(Exceto a manchete, esta história não foi editada pela equipe da NDTV e é publicada a partir de um feed distribuído.)