Pengembang perangkat lunak dan aplikasi seluler yang sangat terampil dari Republik Rakyat Demokratik Korea (DPRK) menyamar sebagai “warga negara non-DPRK” dengan harapan mendapatkan pekerjaan lepas dalam upaya untuk memungkinkan intrusi cyber jahat rezim.
Itu menurut penasihat bersama dari Departemen Luar Negeri AS, Departemen Keuangan, dan Biro Investigasi Federal (FBI) yang dikeluarkan pada hari Senin.
Target mencakup perusahaan yang berfokus pada keuangan, kesehatan, media sosial, olahraga, hiburan, dan gaya hidup yang berlokasi di Amerika Utara, Eropa, dan Asia Timur, dengan sebagian besar pekerja yang dikirim berada di Cina, Rusia, Afrika, dan Asia Tenggara.
Tujuannya, badan-badan AS memperingatkan, adalah untuk menghasilkan aliran pendapatan konstan yang menghindari sanksi internasional yang dikenakan pada negara dan membantu melayani prioritas ekonomi dan keamanannya, termasuk pengembangan rudal nuklir dan balistik.
“Pemerintah Korea Utara menahan hingga 90 persen dari upah pekerja di luar negeri yang menghasilkan pendapatan tahunan bagi pemerintah ratusan juta dolar,” kata pedoman itu.
Beberapa bidang inti di mana pekerja TI DPRK diketahui terlibat adalah pengembangan perangkat lunak; platform kripto; animasi grafis; perjudian daring; game seluler; aplikasi kencan, AI, dan VR; pengembangan perangkat keras dan firmware; perangkat lunak pengenalan biometrik; dan manajemen basis data.
Pekerja TI DPRK juga diketahui mengerjakan proyek yang melibatkan mata uang virtual, yang mencerminkan minat berkelanjutan negara tersebut pada teknologi dan sejarah serangan yang ditargetkan yang ditujukan pada sektor keuangan.
Selain itu, mereka dikatakan menyalahgunakan akses istimewa yang diperoleh sebagai kontraktor untuk memberikan dukungan logistik kepada kelompok yang disponsori negara Korea Utara, berbagi akses ke infrastruktur virtual, memfasilitasi penjualan data curian, dan membantu pencucian uang dan transfer mata uang virtual.
Selain dengan sengaja mengaburkan identitas, lokasi, dan kewarganegaraan mereka secara online dengan menggunakan VPN dan salah menggambarkan diri mereka sebagai warga negara Korea Selatan, potensi tanda bahaya yang mengindikasikan keterlibatan pekerja TI DPRK adalah sebagai berikut –
- Beberapa login ke dalam satu akun dari berbagai alamat IP dalam waktu singkat
- Masuk ke beberapa akun pada platform yang sama dari satu alamat IP
- Masuk ke akun terus menerus selama satu hari atau lebih pada satu waktu
- Penggunaan port seperti 3389 yang terkait dengan perangkat lunak berbagi desktop jarak jauh
- Menggunakan akun klien nakal pada platform kerja lepas untuk meningkatkan peringkat akun pengembang
- Beberapa akun pengembang menerima peringkat tinggi dari satu akun klien dalam waktu singkat
- Transfer uang yang sering melalui platform pembayaran ke rekening bank yang berbasis di China, dan
- Mencari pembayaran dalam mata uang virtual
Dalam satu contoh yang disorot dalam penasehat, pengembang Korea Utara yang bekerja untuk sebuah perusahaan AS yang tidak disebutkan namanya melakukan pencurian tidak sah lebih dari $50.000 dalam 30 angsuran kecil tanpa sepengetahuan perusahaan selama beberapa bulan.
“Mempekerjakan atau mendukung aktivitas pekerja TI DPRK menimbulkan banyak risiko, mulai dari pencurian kekayaan intelektual, data, dan dana hingga kerusakan reputasi dan konsekuensi hukum, termasuk sanksi di bawah otoritas Amerika Serikat dan PBB,” kata Departemen Luar Negeri AS.
Nasihat itu juga datang ketika departemen mengumumkan hadiah $ 5 juta bulan lalu untuk informasi yang mengarah pada gangguan pencurian cryptocurrency Korea Utara, spionase dunia maya, dan kegiatan negara-bangsa terlarang lainnya.