美国司法部对北韩IT工作人员的民事没收请求
上周,美国司法部(DOJ)针对北韩的IT工作人员提出了一项民事没收请求,要求没收770万美元的加密货币,并指控他们通过欺诈手段在美国和海外公司谋求就业。美国政府在一项旨在制裁北韩的行动中扣押了这笔资金,并于2023年4月对与该计划相关的北韩外贸银行代表沈贤钞(Sim Hyon Sop)提起了指控。
根据司法部的说法,这些北韩IT工作人员利用虚假或欺诈性信息获得身份,在美国的加密货币公司找到工作,并通过沈贤钞洗钱,将收入转入平壤政权的账户。这份没收申请还详细说明,这些IT工作人员曾在中国、俄罗斯和老挝等多个国家工作。通过隐瞒真实身份和地点,他们与区块链公司签约,而这些公司通常以稳定币(如USDC或Tether)支付他们的报酬。
司法部的评论与调查
司法部国家安全部负责人白秀珍(Sue J. Bai)表示:“多年来,北韩利用全球远程IT合同和加密货币生态系统逃避美国制裁,并为其武器计划提供资金。”
司法部还报告,这些IT工作人员采用多种方法洗钱其欺诈所得,包括:
- 用虚构身份开设交易所账户
- 进行多笔小额转账
- 将一种代币转换为另一种代币
- 购买NFT
- 对资金进行混合
经过洗净的资金随后通过沈贤钞和北韩国防部下属公司的首席执行官金相满(Kim Sang Man)转送至北韩。司法部在2023年4月对沈贤钞提出了两项指控,分别是与北韩工作人员共谋,通过欺诈性就业获得收入,以及与场外加密货币交易者共谋,利用这些欺诈性收入为北韩购买物资。
FBI的调查与专家评论
芝加哥的联邦调查局(FBI)及其虚拟资产单位正在调查与此次没收申请相关的案件,司法部已向哥伦比亚特区的美国地方法院提交了申请。FBI反情报部助理主任罗曼·罗扎夫斯基(Roman Rozhavsky)表示:“FBI的调查揭示,北韩IT工作人员通过窃取美国公民的身份获得工作,欺骗美国企业,这是一场大规模的行动,旨在让北韩政府绕过美国制裁,以为其专制政权创造收入。”
虽然尚无法全面确定北韩IT工作的欺诈程度,但专家普遍认为,相关问题正在愈发严重。Chainalysis国家安全情报负责人安德鲁·费尔曼(Andrew Fierman)在接受Decrypt采访时表示:“假冒合法远程员工的北韩IT工作人员所构成的威胁正在迅速增长。”他引用了司法部在2022年12月对14名北韩国籍人士的起诉案例,称这些人利用虚假身份在六年内欺诈性获得了8800万美元的收入,这表明了这一威胁的“工业化和复杂化”程度。
费尔曼表示:“尽管很难确切指出北韩非法网络收入中有多少与欺诈性IT工作相关,但政府的评估与网络安全研究表明,这种方式已演变为该政权可靠的收入来源,特别是当与间谍活动目标及后续利用相结合时。”
其他安全专家同样表示,北韩非法IT雇员的威胁日益显著,DTEX系统首席内部调查员迈克尔·巴恩哈特(Michael Barnhart)告诉Decrypt,他们的战术正变得愈发复杂。
“这些操纵者不仅是潜在威胁,他们已与正在运作的组织积极渗透,关键基础设施和全球供应链已经受到影响。”
巴恩哈特表示,北韩威胁分子甚至开始建立“假公司,伪装成可信的第三方”,或渗透到审查不够严格的合法第三方公司中。有趣的是,巴恩哈特估计,北韩可能通过欺诈性IT工作每年创造数亿美元的收入,而任何已记录的数字或金额均可能被低估。
未来的挑战与国际反应
“‘你不知道你不知道什么’的说法适用,因为每天都会发现新的获利计划,”他解释称,“此外,许多收入被掩盖,呈现出网络犯罪团伙或看似完全合法的活动,因此整体归属变得模糊。”
尽管周四的没收请求表明美国政府在逐步掌控北韩的行动,但北韩的日益复杂性表明,美国及国际当局可能还需继续追赶一段时间。安德鲁·费尔曼表示:“特别令人担忧的是,这些工作人员能够如此轻易地伪装自己:利用生成性AI创建虚假身份,使用深度伪造工具进行面试,甚至运用支持系统通过技术筛选。”
四月,谷歌的威胁情报组披露,北韩行动者已扩展至美国以外,渗透到英国、德国、葡萄牙和塞尔维亚的加密货币项目中,这些项目涉及开发区块链市场、人工智能网络应用和Solana智能合约,并与英国和美国的同伙合作,帮助操作者绕过身份检查并通过TransferWise和Payoneer收款。
