Як і де режим Кім Чен Ина заробляє на балістичні ракети та зброю масового знищення

Влаштуватися на роботу – завдання нервове й виснажливе. Години безплідних пошуків вакансій, нескінченне редагування мотиваційних листів, дивні питання від рекрутерів – і все це ще до першої співбесіди. Але якщо говорити про найзатятіших шукачів роботи у світі, то пальма першості, ймовірно, належить північнокорейським ІТ-фахівцям, яких режим Кім Чен Ина роками відправляє за кордон.

Їхня місія – отримати віддалену роботу, заробити якомога більше і переслати прибуток назад у країну, що перебуває під жорсткими санкціями. За оцінками ООН, такі схеми приносять КНДР від 250 до 600 мільйонів доларів на рік.

Новий масштабний витік даних, який потрапив до дослідників кібербезпеки, показує, як працює одна з груп північнокорейських ІТ-шахраїв – від ретельно структурованих таблиць і чатів у Slack до підроблених документів і детальних інструкцій для створення фальшивих акаунтів. Гроші, які вони заробляють, за даними уряду США, йдуть на фінансування програм зі створення зброї масового ураження та балістичних ракет. 24 Канал розповідає найцікавіше з матеріалу WIRED про шахраїв з Північної Кореї.

Мережа з 12 команд і "майстер-бос"

Дані, надані анонімним джерелом досліднику під псевдонімом SttyK, містять десятки гігабайтів електронних листів, документів, скриншотів та переписок у Google, GitHub і Slack, що, ймовірно, належать групі ІТ-працівників КНДР. У цих матеріалах – списки вакансій, деталі поданих заявок, записи про отримані виплати, а також підроблені посвідчення, приклади мотиваційних листів і навіть описи "ферм" ноутбуків.

Серед скриншотів – таблиці, де команда розділена на 12 груп по приблизно 12 осіб, над якими стоїть так званий "майстер-бос". Для кожної групи ведуться зведені та аналітичні вкладки: вакансії з описами ("потрібен новий React і Web3-розробник"), посилання на оголошення, статуси ("очікування", "є контакт"), а також детальний облік техніки – від моделі ноутбука до серійних номерів дисків.

В окремому "аналітичному" файлі вказані напрями робіт – від розробки ШІ та блокчейну до створення мобільних додатків, ботів, десктопних програм і систем для веб-скрейпінгу. Поруч – бюджети, отримані суми й графіки з аналізом найприбутковіших регіонів та найзручніших способів розрахунків (щотижня, щомісяця чи фіксованою сумою).

Цікаво! На початку 2025 року стало відомо про найбільшу крадіжку криптовалюти в історії: північнокорейські хакери викрали близько 1,5 мільярда доларів з криптобіржі Bybit. Атака відбулася 21 лютого та була здійснена через фішингові атаки на підписантів холодних гаманців, що дозволило замінити легальний смартконтракт на шкідливий і перехопити транзакції. Викрадені кошти одразу почали відмивати через мережу посередницьких гаманців, конвертацію в інші криптовалюти та використання децентралізованих бірж. Частину активів (понад 43 мільйони доларів) уже вдалося заморозити та повернути, але більшість залишаються під контролем зловмисників.

Американські та південнокорейські спецслужби пов'язують атаку з групою Lazarus, яка з 2009 року спеціалізується на фінансуванні КНДР через кібератаки. За оцінками, близько половини ракетної програми Пхеньяна фінансується завдяки таким цифровим крадіжкам.

Як живуть "айтівці" з КНДР?

Попри приналежність до репресивної системи, багато ІТ-працівників КНДР, що працюють у Росії чи Китаї, живуть відносно вільно у порівнянні з тоталітарною батьківшиною. Вони відвідують ресторани, влаштовують вечірки біля басейну, святкують дні народження.

Втім, контроль суворий. У Slack-чатах від "айтівців" вимагають працювати не менше 14 годин на добу, а на деяких комп'ютерах дослідники виявили програми для моніторингу співробітників. Спілкування в командах велося англійською, щоб імітувати легальну діяльність і тренувати мову для співбесід. Часто використовували онлайн-перекладачі.

Частина команди належить до підрозділу KUT (ймовірно, це вказує на Технологічний університет імені Кім Чхека) та компанії Ryonbong – оборонного підприємства, яке під санкціями США з 2005 року та ООН з 2009-го. Американський Мінфін прямо пов'язує більшість таких працівників із програмами з розробки балістичних ракет і забороненою зброєю.

Один колишній "айтівець" розповів BBC, що 85% заробітку відправляв до Пхеньяна, але все одно жив краще, ніж удома. Чин-су, утікач від режиму, з яким поговорили журналісти, розповів, що за роки використав сотні підроблених посвідчень особи, щоб влаштуватися на дистанційну роботу в західних ІТ-компаніях. Це було частиною масштабної таємної операції зі збору коштів для режиму Північної Кореї. Працюючи одночасно на кількох роботах у США та Європі, він заробляв щонайменше 5000 доларів на місяць, а дехто з його колег – значно більше. До втечі Чин-су був одним із тисяч північнокорейців, яких відправляли за кордон для участі в цій тіньовій схемі.

За словами Чин-су, 85% заробленого він віддавав на фінансування режиму, що перебуває під жорсткими міжнародними санкціями.

Ми розуміємо, що це схоже на пограбування, але сприймаємо це як долю. Усе одно це значно краще, ніж життя в Північній Кореї,
– зізнався чоловік.

Кілька років Чин-су працював на режим у Китаї, зазвичай у команді з десяти людей. Там він почав створювати складну мережу отримання підроблених документів. Спочатку видавав себе за китайця та домовлявся з людьми в Угорщині, Туреччині та інших країнах, щоб ті дозволили використовувати їхні особисті дані в обмін на відсоток від заробітку. Пізніше він виходив на мешканців Західної Європи, особливо Великої Британії, і подавався на роботу вже в американські та європейські компанії.

"Якщо поставити на профіль "азійське обличчя", роботи не отримаєш", – пояснює Чин-су. За його словами, британці найчастіше погоджувалися поділитися документами: "Трошки поговориш – і люди у Великій Британії легко віддають свої дані". Він орієнтувався переважно на ринок США, де зарплати були вищими, і навіть траплялися випадки, коли в одній компанії працювало кілька північнокорейців під різними прикриттями.

Після кількох років життя в Китаї Чин-су відчув ізоляцію через суворі умови праці.

Нам не дозволяли виходити з дому, треба було постійно залишатися всередині. Не можна займатися спортом, робити те, що хочеш. Водночас перебування за кордоном дало більше доступу до західних медіа: ти бачиш реальний світ. Коли ми за кордоном, розуміємо, що всередині Північної Кореї щось не так.

Попри ризики, Чин-су зважився на втечу. Тепер він працює в ІТ легально й отримує менше, ніж у часи роботи на режим, але може залишати собі більшу частину доходу.

Шаблони, підробки та дружнє плече

За роки досліджень кіберфахівці помітили повторювані патерни в роботі північнокорейських "айтівців". Це однакові резюме, схожі портфоліо, ті самі шаблони сайтів. Для створення нових "легенд" шахраї використовують навіть генератори японських імен – іноді з орфографічними помилками. Один працівник, зафіксований дослідниками, користувався 119 різними особистостями.

ШІ теж став інструментом у цій індустрії – його використовують як для редагування зображень і відеодзвінків, так і для автоматизації скриптів. Попри технічну складність схем, багато роботи залишається рутинною. Це нескінченні копіювання та вставки даних, наповнення таблиць і пошук нових цілей.

Але за сухою статистикою проглядається й соціальна взаємодія північнокорейців в умовах більш вільних країн. У Slack вони обговорювали спортивні заходи, ділилися мемами з Instagram і навіть грали в Counter-Strike. Як зазначає SttyK, у цій замкнутій спільноті відчувалося сильне "дружнє плече", навіть якщо її члени працювали на режим, відомий безжальністю до власних громадян.