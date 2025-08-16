Устроиться на работу – задача нервная и изнурительная. Часы бесплодных поисков вакансий, бесконечное редактирование мотивационных писем, странные вопросы от рекрутеров, и все это еще до первого собеседования. Но если говорить о самых упорных искателях работы в мире, то пальма первенства, вероятно, принадлежит северокорейским ИТ-специалистам, которых режим Ким Чен Ына годами отправляет за границу.

Их миссия – получить удаленную работу, заработать как можно больше и переслать прибыль обратно в страну, находящуюся под жесткими санкциями. По оценкам ООН, такие схемы приносят КНДР от 250 до 600 миллионов долларов в год.

Новая масштабная утечка данных, которая попала к исследователям кибербезопасности, показывает, как работает одна из групп северокорейских ИТ-мошенников – от составления тщательно структурированных таблиц и ведения чатов в Slack до подготовки поддельных документов и разработки детальных инструкций по созданию фальшивых аккаунтов. Деньги, которые они зарабатывают, по данным правительства США, идут на финансирование программ по созданию оружия массового поражения и баллистических ракет. 24 Канал рассказывает самое интересное из материала WIRED о мошенниках из Северной Кореи.

Сеть из 12 команд и мастер-босс

Данные, предоставленные анонимным источником исследователю под псевдонимом SttyK, содержат десятки гигабайтов электронных писем, документов, скриншотов и переписок в Google, GitHub и Slack, что, вероятно, принадлежат группе ИТ-работников КНДР. В этих материалах – списки вакансий, детали поданных заявок, записи о полученных выплатах, а также поддельные удостоверения, примеры мотивационных писем и даже описания ферм ноутбуков.

Среди скриншотов – таблицы, где команда разделена на 12 групп по примерно 12 человек, над которыми стоит так называемый мастер-босс. Для каждой группы ведутся сводные и аналитические вкладки: вакансии с описаниями ("нужен новый React и Web3-разработчик"), ссылки на объявления, статусы ("ожидание", "есть контакт"), а также детальный учет техники – от модели ноутбука до серийных номеров дисков.

В отдельном аналитическом файле указаны направления работ – от разработки ИИ и блокчейна до создания мобильных приложений, ботов, десктопных программ и систем для веб-скрейпинга. Рядом – бюджеты, полученные суммы и графики с анализом самых прибыльных регионов и удобных способов расчетов (еженедельно, ежемесячно или фиксированной суммой).

Интересно! В начале 2025 года стало известно о крупнейшей краже криптовалюты в истории: северокорейские хакеры похитили около 1,5 миллиарда долларов с криптобиржи Bybit. Атака произошла 21 февраля и была осуществлена через фишинговые атаки на подписантов холодных кошельков, что позволило заменить легальный смарт-контракт на вредоносный и перехватить транзакции. Похищенные средства сразу начали отмывать через сеть посреднических кошельков, конвертацию в другие криптовалюты и использование децентрализованных бирж. Часть активов (более 43 млн долларов) уже удалось заморозить и вернуть, но большинство остаются под контролем злоумышленников.



Американские и южнокорейские спецслужбы связывают атаку с группой Lazarus, которая с 2009 года специализируется на финансировании КНДР через кибератаки. По оценкам, около половины ракетной программы Пхеньяна финансируется благодаря таким цифровым кражам.

Как живут айтишники из КНДР?

Несмотря на принадлежность к репрессивной системе, много ИТ-работников КНДР, работающих в России или Китае, живут относительно свободно по сравнению с тоталитарной родиной. Они посещают рестораны, устраивают вечеринки у бассейна, празднуют дни рождения.

Впрочем, контроль строгий. В Slack-чатах от айтишников требуют работать не менее 14 часов в сутки, а на некоторых компьютерах исследователи обнаружили программы для мониторинга сотрудников. Общение в командах велось на английском, чтобы имитировать легальную деятельность и тренировать язык для собеседований. Часто использовали онлайн-переводчики.

Часть команды принадлежит к подразделению KUT (вероятно, это указывает на Технологический университет имени Ким Чхека) и компании Ryonbong – оборонного предприятия, которое под санкциями США с 2005 года и ООН с 2009-го. Американский Минфин прямо связывает большинство таких работников с программами по разработке баллистических ракет и запрещенным оружием.

Один бывший айтишник рассказал BBC, что 85% заработка отправлял в Пхеньян, но все равно жил лучше, чем дома. Чин-су, беглец от режима, с которым поговорили журналисты, рассказал, что за годы использовал сотни поддельных удостоверений личности, чтобы устроиться на дистанционную работу в западных ИТ-компаниях. Это было частью масштабной тайной операции по сбору средств для режима Северной Кореи. Работая одновременно на нескольких работах в США и Европе, он зарабатывал не менее 5000 долларов в месяц, а некоторые из его коллег – значительно больше. До побега Чин-су был одним из тысяч северокорейцев, которых отправляли за границу для участия в этой теневой схеме.

По словам Чин-су, 85% заработанного он отдавал на финансирование режима, находящегося под жесткими международными санкциями.

Мы понимаем, что это похоже на ограбление, но воспринимаем это как судьбу. Все равно это значительно лучше, чем жизнь в Северной Корее,

– признался мужчина.

Несколько лет Чин-су работал на режим в Китае, обычно в команде из десяти человек. Там он начал создавать сложную сеть получения поддельных документов. Сначала выдавал себя за китайца и договаривался с людьми в Венгрии, Турции и других странах, чтобы те позволили использовать их личные данные в обмен на процент от заработка. Позже он выходил на жителей Западной Европы, особенно Великобритании, и подавался на работу уже в американские и европейские компании.

"Если поставить на профиль "азиатское лицо", работы не получишь", – объясняет Чин-су. По его словам, британцы чаще всего соглашались поделиться документами: "Немножко поговоришь – и люди в Великобритании легко отдают свои данные". Он ориентировался преимущественно на рынок США, где зарплаты были выше, и даже бывали случаи, когда в одной компании работало несколько северокорейцев под разными прикрытиями.

После нескольких лет жизни в Китае Чин-су почувствовал изоляцию из-за суровых условий труда.

Нам не разрешали выходить из дома, надо было постоянно оставаться внутри. Нельзя заниматься спортом, делать то, что хочешь. В то же время пребывание за границей дало больше доступа к западным медиа: ты видишь реальный мир. Когда мы за рубежом, мы понимаем, что внутри Северной Кореи что-то не так.

Несмотря на риски, Чин-су решился на побег. Теперь он работает в ИТ легально и получает меньше, чем во времена работы на режим, но может оставлять себе большую часть дохода.

Шаблоны, подделки и дружеское плечо

За годы исследований киберспециалисты заметили паттерны в работе северокорейских айтишников. Это одинаковые резюме, похожие портфолио, те же шаблоны сайтов. Для создания новых легенд мошенники используют даже генераторы японских имен – иногда с орфографическими ошибками. Один работник, зафиксированный исследователями, пользовался 119 различными личностями.

ИИ тоже стал инструментом в этой индустрии – его используют как для редактирования изображений и видеозвонков, так и для автоматизации скриптов. Несмотря на техническую сложность схем, остается много рутинной работы. Это бесконечные копирования и вставки данных, наполнение таблиц и поиск новых целей.

Но за сухой статистикой просматривается и социальное взаимодействие северокорейцев в условиях более свободных стран. В Slack они обсуждали спортивные мероприятия, делились мемами из Instagram и даже играли в Counter-Strike. Как отмечает SttyK, в этом замкнутом сообществе чувствовалось сильное дружеское плечо, даже если его члены работали на режим, известный безжалостностью к собственным гражданам.