Aanklagers beweren dat aan Noord-Korea gelinkte IT-medewerkers honderden Amerikaanse bedrijven hebben geïnfiltreerd en opgelicht, waaronder grote bedrijven. Ze noemen het de grootste vorm van zwendel ooit.
Denk je dat jouw gegevens veilig zijn dankzij je informatietechnologie (IT)-afdeling? Denk dan nog eens goed na.
De Department of Justice (DOJ) heeft verschillende rechtbankdocumenten openbaar gemaakt die gericht zijn op identiteitsdiefstal en andere misdrijven, die verband houden met de Democratische Volksrepubliek Korea (DPRK of Noord-Korea). Aanklagers, die beweren dat Noord-Koreaanse IT-medewerkers Amerikaanse bedrijven infiltreerden en oplichtten, noemden het de grootste zaak ooit met betrekking tot dit soort zaken.
Het plan
Volgens gerechtelijke documenten stuurde Noord-Korea duizenden geschoolde IT-medewerkers de wereld rond met gestolen of geleende identiteiten om in netwerken van Amerikaanse bedrijven te infiltreren en geld in te zamelen om bij te dragen aan het Noord-Koreaanse wapenprogramma, wat in strijd is met Amerikaanse en VN-sancties. In de zwendel werden meer dan 300 Amerikaanse bedrijven opgelicht, waaronder veel bekende grote bedrijven, met behulp van Amerikaanse betalingsplatforms en accounts op online vacaturesites, proxycomputers in de VS en Amerikaanse personen en entiteiten (waarvan sommigen zich niet realiseerden dat ze meehielpen fraude te plegen).
De aanklagers beweren dat het plan begin 2020 begon toen een groep overzeese IT-medewerkers op afstand diensten begon te verlenen aan Amerikaanse bedrijven. Om deze banen te krijgen, stalen de werknemers de identiteit van Amerikaanse onderdanen en solliciteerden ze naar banen op afstand in de VS. Zodra ze een baan hadden gekregen in de VS – soms via uitzendbureaus – konden ze toegang krijgen tot de interne systemen van Amerikaanse bedrijven. Ze stalen niet alleen gegevens en geld, maar kregen ook miljoenen dollars betaald voor hun werk en meldden die informatie valselijk aan de IRS.
Christina Marie Chapman
Een van de aangeklaagden is Christina Marie Chapman, een Amerikaans staatsburger, die werd gearresteerd in Litchfield Park, Arizona, samen met haar medesamenzweerders (in de aanklacht aangeduid als John Does 1-3, die de aliassen Jiho Han, Haoran Xu en Chunji Jin gebruiken).
Chapman wordt ervan beschuldigd de IT-medewerkers te hebben geholpen bij het valideren van gestolen identiteitsgegevens zodat ze zich konden voordoen als Amerikaanse burgers. De buitenlandse IT-medewerkers kregen een baan bij Amerikaanse bedrijven, waaronder een groot televisienetwerk uit de top-vijf, een technologiebedrijf uit Silicon Valley, een lucht- en ruimtevaartfabrikant, een Amerikaanse autofabrikant, een luxe winkel en een Amerikaans media- en entertainmentbedrijf (in de aanklacht ‘een van de meest herkenbare media- en entertainmentbedrijven ter wereld’ genoemd), allemaal Fortune 500-bedrijven. De aanklagers zeggen dat de overzeese IT-medewerkers ook gegevens exfiltreerden (een chic tech-woord voor stelen) van ten minste twee Amerikaanse bedrijven, waaronder een multinationale restaurantketen en een Amerikaans kledingmerk.
(De overzeese IT-medewerkers probeerden ook bij drie andere gelegenheden een baan en toegang tot informatie te krijgen bij twee verschillende Amerikaanse overheidsinstellingen, hoewel deze pogingen over het algemeen geen succes hadden).
De FBI voerde ook huiszoekingsbevelen uit voor ‘laptop farms’ in de VS. Laptopfarms zijn woningen waar laptops van overzeese IT-medewerkers staan, zodat het lijkt alsof de IT-medewerkers in de VS werken.
De woning van Chapman was één van de woningen, die in oktober 2023 werd doorzocht met een bevelschrift uit het district Arizona. Ze wordt beschuldigd van het hosten van een laptopfarm in haar huis om te helpen bij het plan. Aanklagers beweren ook dat ze looncheques ontving en vervalste en directe stortingen ontving van de lonen van de overzeese IT-medewerkers van de Amerikaanse bedrijven op haar Amerikaanse financiële rekeningen.
“Het gebruik van gestolen identiteiten van Amerikaanse burgers is al een misdaad op zich, maar als je die identiteiten gebruikt om buitenlandse onderdanen met banden met Noord-Korea bij honderden Amerikaanse bedrijven aan het werk te krijgen, heb je de nationale veiligheid van een hele natie in gevaar gebracht” zegt Guy Ficco Chief of IRS CI. “Al meer dan 100 jaar houden speciale agenten van de IRS Criminal Investigation zich bezig met het opsporen van geld en hun financiële expertise heeft opnieuw criminelen tegengehouden.”
Aanklagers beweren dat Chapman in eerste instantie werd benaderd om deel te nemen aan de regeling op LinkedIn, waar ze werd gevraagd om het ‘Amerikaanse gezicht’ van een bedrijf te zijn. (Haar LinkedIn pagina lijkt te zijn verwijderd.)
Chapman wordt specifiek beschuldigd van samenzwering om de Verenigde Staten te bedriegen, samenzwering om fraude te plegen, samenzwering om bankfraude te plegen, verzwarende identiteitsdiefstal, samenzwering om identiteitsfraude te plegen, samenzwering om geld wit te wassen, het exploiteren van een geldtransmitterbedrijf zonder vergunning en het onwettig tewerkstellen van vreemdelingen. De John Does worden beschuldigd van samenzwering tot het witwassen van geld.
Chapman is aangeklaagd en heeft nog geen pleidooi gehouden. Als Chapman wordt veroordeeld, hangt hem een maximale gevangenisstraf van 97,5 jaar boven het hoofd, inclusief een verplicht minimum van twee jaar voor de aanklacht van zware identiteitsdiefstal.
Volgens de rechtbankdocumenten wordt Chapman momenteel vertegenwoordigd door een federale openbare verdediger.
De John Does zijn nog steeds op vrije voeten. Het Amerikaanse ministerie van Buitenlandse Zaken heeft een beloning van maximaal 5 miljoen dollar uitgeloofd voor informatie over de medesamenzweerders van Chapman. De DOJ moedigt iedereen met informatie over Jiho Han, Haoran Xu, Chunji Jin, Zhonghua, geassocieerde personen of entiteiten of hun inkomstengenererende en witwasactiviteiten aan om contact op te nemen met het kantoor van Rewards for Justice via het Tor-gebaseerde tips-meldingskanaal op: he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion (Tor-browser vereist).
Assistant Attorney General Nicole M. Argentieri, hoofd van de Criminal Division van het Justice Department, zei: “De aanklachten in deze zaak moeten Amerikaanse bedrijven en overheidsinstellingen die IT-medewerkers op afstand in dienst hebben wakker schudden. Deze misdaden kwamen ten goede aan de Noord-Koreaanse overheid, die er inkomsten uit haalde en – in sommige gevallen – gepatenteerde informatie die gestolen was door de medesamenzweerders. De Criminal Division blijft zich inzetten om complexe criminele constructies zoals deze te vervolgen.”
Oleksandr Didenko
Er is ook een aanklacht ingediend in het District Columbia tegen Oleksandr Didenko uit Kiev, Oekraïne, voor een afzonderlijk plan om valse accounts aan te maken bij Amerikaanse IT-platforms voor het zoeken naar werk en bij geldtransactiekantoren in de VS.
Volgens de aanklacht beheerde Didenko een website, upworksell.com, die beweerde diensten te verlenen aan IT-medewerkers op afstand. Volgens de beëdigde verklaring ter ondersteuning van de klacht van de Special Agent van de FBI, die de website bekeek, adverteerde de site de mogelijkheid voor IT-medewerkers op afstand om accounts te kopen of te huren op naam van andere identiteiten dan die van henzelf. De site adverteerde ook met ‘Credit Card Rental’ in de Europese Unie en de VS en verhuur van SIM-kaarten voor klanten die een mobiele telefoon hadden. Klanten stuurden geld om op de kaart te laden en Didenko gaf de kaartinformatie aan de klant nadat deze een bedrag had betaald.
Didenko bood naar verluidt verschillende opties om hem te betalen, waaronder in USDT (TetherTether 0,0% stablecoin cryptocurrency), BUSD (Binance stablecoin cryptocurrency), USDCUSDC 0,0% (USD Coin stablecoin cryptocurrency) en via Amerikaanse Money Service Transmitter (MST)-rekeningen.
De aanklagers beweren dat deze deel uitmaakten van een ‘volledig dienstenpakket’ dat ook nepinterviews omvatte om personen in staat te stellen zich voor te doen onder een valse identiteit en zichzelf aan te bieden voor IT-werk op afstand bij nietsvermoedende bedrijven.
(Het domein upworksell.com is sindsdien in beslag genomen door de DOJ onder een gerechtelijk bevel en al het verkeer werd omgeleid naar de FBI. Er staat nu een bericht op de site dat dit is gebeurd).
Volgens de beëdigde verklaring, die de aanklacht ondersteunt, beheerde Didenko ongeveer 871 ‘proxy-identiteiten’, verzorgde hij proxy-accounts voor drie freelance Amerikaanse IT-huurplatforms en verzorgde hij proxy-accounts voor drie verschillende in de VS gevestigde geldtransactiekantoren. In samenwerking met zijn medesamenzweerders faciliteerde Didenko de exploitatie van ten minste drie in de VS gevestigde laptopfarms, waar op een gegeven moment ongeveer 79 computers stonden.
De aanklagers beweren dat Didenko in berichten erkende dat hij geloofde dat hij Noord-Koreaanse IT-medewerkers hielp. Daarnaast ontdekte een Amerikaans cyberbeveiligingsbedrijf in november 2023 documenten op een online opslagplatform met betrekking tot pogingen van Noord-Koreaanse IT-medewerkers om als externe werknemers aan de slag te gaan. Volgens rechtbankdocumenten oordeelde het bedrijf met ‘hoge mate van vertrouwen’ dat deze documenten konden worden toegeschreven aan een spionagegroep, die banden met Noord-Korea had. Het bedrijf verklaarde: “Verscheidene van de documenten die we ontdekten bevatten informatie die meer definitief wijst naar Noord-Korea. Veel van de wachtwoorden, die bij deze documenten horen, waren aangemaakt in het Koreaans en getypt op een Amerikaans toetsenbord en sommige wachtwoorden bevatten woorden die alleen in Noord-Korea worden gebruikt. Bovendien werden Koreaanse toetsenbordtaalinstellingen aangetroffen op computers, die door dreigingsactoren achter deze campagnes werden gebruikt.”
De documenten bevatten handleidingen en tips over het vinden van een baan, het schrijven van een sollicitatiebrief, het maken van een cv, voorbeeld-cv’s van vermeende IT-medewerkers en scripts voor sollicitatiegesprekken. Verschillende documenten hadden betrekking op online vacatures voor werknemers, die Noord-Koreaanse IT-medewerkers bemachtigden, waaronder banen bij Amerikaanse werkgevers die later via bedrijfsgegevens in verband werden gebracht met de computers die in de woning van Chapman werden gevonden (aanklagers beweren dat er een verband was tussen de activiteiten van Didenko en Chapman).
Eén van Didenko’s klanten van overzeese IT-medewerkers vroeg ook om een laptop van één van Didenko’s Amerikaanse laptopfarms naar Chapmans laptopfarm te sturen, wat de onderlinge connectiviteit van deze cellen binnen het Noord-Koreaanse netwerk van overzeese IT-medewerkers aantoont. In het zuidelijke district van Californië, het oostelijke district van Tennessee en het oostelijke district van Virginia werden huiszoekingsbevelen uitgevaardigd voor vier Amerikaanse woningen die verband hielden met door Didenko gecontroleerde laptopfarms.
Als Didenko wordt veroordeeld, hangt hem een maximumstraf van 67,5 jaar gevangenisstraf boven het hoofd, inclusief een verplicht minimum van twee jaar voor de aanklacht van zware identiteitsdiefstal. De Poolse autoriteiten arresteerden Didenko op 6 mei op verzoek van de VS, die om Didenko’s uitlevering uit Polen vragen.
De rechtbankdocumenten hebben niet vastgesteld of Didenko een Amerikaanse advocaat heeft.