全文字数:2786字 / 阅读时间:9分钟
The U.S. is offering a reward of up to $5 million for information on a network of people charged with scamming companies of nearly $7 million on behalf of North Korea.
美国官方正悬赏 500 万美元(约合人民币 3631 万元),征集一个犯罪集团信息,该集团被控代表朝鲜诈骗了美国公司近 700 万美元(约合人民币 5083 万元)。
Prosecutors allege that North Korea-linked IT workers have infiltrated and defrauded hundreds of U.S. companies, including big ones. They call it the largest scheme of this type ever charged.
美国检方声称,朝鲜方面的 IT 工作者已经渗透并诈骗了数百家美国企业,包括一些大型公司。他们称这是有史以来规模最大的信息欺诈。
纸终于包不住火了
The Department of Justice (DOJ) has unsealed several court documents focused on identity theft and other crimes linked to the Democratic People’s Republic of Korea. Prosecutors, who allege that North Korean IT workers have been infiltrating and defrauding U.S. companies.
美国司法部(DOJ)公布了几份法庭文件,重点关注与朝鲜有关的身份盗窃和其他犯罪事件。检方称,朝鲜信息技术人员一直在渗透并欺骗美国公司。
According to court documents, North Korea sent thousands of skilled IT workers around the world. They stole or borrowed identities to infiltrate U.S. companies’ networks, and raised money to contribute to the North Korean weapons program in violation of U.S. and U.N. sanctions.
法庭文件显示,朝鲜向世界各地派遣了数千名技术熟练的 IT 技术人员。他们用窃取或借用的身份渗透到美国公司的网络中,为朝鲜的武器计划筹集资金,此举违反了美国和联合国的约定。
这些骗局涉及利用美国的支付平台和在线招聘网站账户、位于美国的代理计算机以及美国的个人和实体(其中一些人甚至没有意识到他们在帮助实施欺诈),欺骗了包括许多知名大公司在内的 300 多家美国企业。
Prosecutors claim the scheme began early in 2020 when a group of overseas IT workers stole the identities of U.S. nationals for getting the jobs and applied for remote jobs in the U.S. Once they had obtained jobs in the U.S.—sometimes through the use of staffing companies—they were able to access the internal systems of U.S. companies. Not only did they steal data and money, they were paid millions of dollars for their work, and falsely reported that information to the IRS.
检察官称,该计划始于 2020 年初,当时一群海外 IT 技术人员窃取了美国公民的身份,在美国申请远程工作。一旦他们在美国获得了工作,或是通过人力资源公司的帮助入职,他们就可以访问美国公司的内部系统。他们不仅窃取了数据和金钱,还因这份工作获得了数百万美元的报酬,并向美国国税局(IRS)虚报了他们在美国工作所获得的薪酬。
Here's a look at North Korea's cryptocurrency theft,here are a few numbers that might shock your jaw:
朝鲜的数字货币盗窃行为涉及数额惊人,以下几个数字或许会惊掉你的下巴:
6.3 亿美元(约合人民币 45.7 亿元):根据联合国专家的数据,朝鲜在 2022 年窃取的数字资产估值创新高。
17 亿美元(约合人民币 123.4 亿元):根据区块链分析公司 Chainalysis 的数据,朝鲜在 2022 年窃取的数字资产估值。
6.25 亿美元(约合人民币 45.4 亿元):Lazarus 在 2022 年 4 月从 Ronin Network 窃取的加密货币估值,这使其成为当时最大的加密货币盗窃案。
30 万美元以上(约合人民币 218 万元以上):据美国财政部数据,一些朝鲜 IT 工人一年的收入可能超过这个数字。
高科技小偷
The State Department said that from October 2020 to October 2023, a U.S. national named Christina Chapman helped workers under the aliases Jiho Han, Chunji Jin and Haoran Xu fraudulently obtain remote work as software and applications developers with companies in a range of sectors and industries.
美国国务院表示,从 2020 年 10 月到 2023 年 10 月,一位名为克里斯蒂娜·查普曼(Christina Chapman)的美国公民帮助化名为韩基胡、金醇基和徐浩然的工人,通过欺诈手段,在各种部门和行业的公司中获得了软件和应用程序开发人员的远程工作。
联邦检察官起诉了查普曼、上文三名工作者和一名 27 岁的乌克兰人奥莱克桑德尔·迪登科(Oleksandr Didenko),指控他们参与了这项计划。这三名工作者的经理使用的化名是钟华(Zhonghua)和威氏 S(Venechor S),被列为未被起诉的共谋者。
Chapman was arrested on Wednesday in her hometown of Litchfield Park, Arizona, and Didenko was arrested in Poland on May 7. The U.S. is seeking his extradition.
5 月 10 日,警察在查普曼的家乡亚利桑那州的利奇菲尔德公园逮捕了她。5 月 7 日,在波兰逮捕了迪登科,美国正设法将他引渡回国。
“These individuals engaged in a scheme that enabled Han, Jin, and Xu to obtain illicit telework employment with U.S. companies using false identities belonging to more than 60 real U.S. persons. The illicit scheme generated at least $6.8 million for the DPRK,” the State Department said.
美国国务院称,韩基胡、金醇基和徐浩然参与这个计划,冒用 60 多个真实美国人的身份在美国公司获得了非法远程工作。该非法计划为朝鲜创造了至少 680 万美元(约合人民币 4938 万元)的收入。
美国国务院表示,查普曼“接收和托管”了雇主寄来的笔记本电脑,让他们看起来是居住在美国的朝鲜人。
The three workers "are linked to the DPRK’s Munitions Industry Department, which oversees the development of the DPRK’s ballistic missiles, weapons production, and research and development programs," the State Department said.
美国国务院表示,这三名工人“与朝鲜军火工业部有联系,该部门负责监督朝鲜弹道导弹的开发、武器生产和研发项目。”
The scheme "impacted more than 300 U.S. companies, caused false information to be conveyed to the Department of Homeland Security on more than 100 occasions, created false tax liabilities for more than 35 U.S. persons," the DOJ said.
司法部表示,该计划“影响了 300 多家美国公司,造成 100 多起虚假信息传至国土安全部,超过 35 名美国人承担了莫须有的税务责任。
这些朝鲜人在美国几家 500 强公司找到了工作,其中包括“五大电视网络、一家硅谷科技公司、一家航空航天和国防公司、一家美国汽车制造商、一家奢侈品零售商店以及一家 U.S.-hallmark 媒体和娱乐公司”。
Chapman enabled the workers to connect remotely to the U.S. companies’ IT networks on a daily basis and “helped launder the proceeds from the scheme by receiving, processing, and distributing paychecks from the U.S. firms to these IT workers and others.”
查普曼授权工人们每天远程访问美国公司的 IT 网络,并通过接收、处理并分发美国公司支付给这些IT工人及其他人的工资支票,协助清洗该计划的非法收益。
Oleksandr Didenko "allegedly owned and operated U.S.-based online infrastructure as well as fraudulent and stolen U.S. persons’ identities" in the scheme, said FBI Assistant Director Jim Smith of the New York Field Office.
据联邦调查局纽约分局助理局长吉姆·史密斯表示,迪登科可能在此次阴谋中控制了位于美国的在线基础设施,并利用了欺诈和被盗的美国人的身份信息。
The DOJ said it also raided four U.S. residences controlled by Didenko where he ran laptop farms.
美国司法部透露,他们突袭了迪登科控制下的四处美国住宅,他在那里运营着笔记本电脑服务器集群。
早期潜入踪迹
Security researchers discovered that attackers are also deploying a Linux backdoor on compromised e-commerce servers after injecting a credit card skimmer into online shops' websites.
安全研究人员发现,在向在线商店网站注入信用卡窃取器后,攻击者还在受感染的电子商务服务器上部署了 Linux 后门。
The PHP-coded web skimmer (a script designed to steal and exfiltrate customers' payment and personal info) is added and camouflaged as a .JPG image file in the /app/design/frontend/ folder.
PHP 编写的网络窃取器(一个旨在窃取和外传客户支付和个人信息的脚本)被添加并伪装成/app/design/frontend/文件夹中的 .JPG 图像文件。
The attackers use this script to download and inject fake payment forms on checkout pages displayed to customers by the hacked online shop.
攻击者利用这个脚本在结账页面上下载并注入伪造的支付表单,这些页面通过受黑客攻击的在线商店展示给顾客。
"We found that the attacker started with automated eCommerce attack probes, testing for dozens of weaknesses in common online store platforms," the Sansec Threat Research Team revealed.
荷兰网络安全公司桑塞克(Sansec)透露:“我们发现,攻击者首先进行了自动化电子商务攻击探测,测试了常见在线商店平台中的数十个弱点。”
"After a day and a half, the attacker found a file upload vulnerability in one of the store's plugins. S/he then uploaded a webshell and modified the server code to intercept customer data."
经过一天半的侦查,攻击者发现了一家商店插件中的文件上传漏洞。随后,他们上传了一个网站壳(webshell)*,并篡改了服务器代码以拦截客户数据。
译注:WebShell是一个以asp、php、jsp或者cgi等网页文件形式存在的代码执行环境,也可以被理解为一种web入侵的脚本攻击工具或恶意脚本。
它起初是被设计用于网站管理、服务器管理和权限管理等操作的,但由于可以作为后门程序使用,黑客经常利用它来获得服务器的执行操作权限,如执行系统命令、窃取用户数据、删除web页面、修改主页等。
黑客侵入了网店,在顾客结账时暗中收集信用卡信息。他们通过自动工具寻找网站的安全漏洞,并在找到漏洞后上传了一个伪装成图片格式的窃密脚本。此外,他们还安装了一个后门程序,这个程序在启动后会立即隐藏自己,伪装成正常的系统进程,以便继续在后台秘密收集信息。
1
END
1
原文链接:
https://therecord.media/north-korea-it-workers-accused-money-laundering-5million-reward
https://www.bleepingcomputer.com/news/security/hackers-deploy-linux-malware-web-skimmer-on-e-commerce-servers/
编译 | 徐城铭 蒋渝可 王培霖 杨嘉伟 玛迪娜
排版 | 曹蕾
点击关注,携手成长👇