Americké úřady dál rozkrývají síť lidí, kteří pomáhali severokorejským IT pracovníkům získávat vzdálené pozice ve firmách ze Spojených států. Podle ministerstva spravedlnosti padlo za posledních pět měsíců už osm rozsudků proti osobám, jež fungovaly jako domácí zástupci tohoto schématu. Případ je důležitý i pro kryptoměnový sektor, protože podobné infiltrace mířily také na technické role v crypto firmách, kde mohly otevřít cestu k interním systémům i firemním aktivům.
Další dva odsouzení v květnu
Ministerstvo spravedlnosti oznámilo, že tento měsíc byli odsouzeni další dva muži ze Spojených států, kteří napomáhali severokorejským pracovníkům vykonávat práci na dálku pro americké společnosti. Šlo o Matthewa Issaca Knoota z Nashvillu a Ericka Ntekereze Prince z New Yorku. Každý z nich dostal trest 18 měsíců vězení. Podle žalobců oba hráli klíčovou roli v logistickém zajištění schématu, které mělo severokorejským pracovníkům umožnit vystupovat jako lidé fyzicky přítomní v USA.
Kromě trestů odnětí svobody soudy nařídily i finanční postihy. Prince má propadnout částka 89 tisíc dolarů, kterou mu severokorejští pracovníci za spolupráci zaplatili. Knoot musí uhradit 15 100 dolarů jako náhradu škody dotčeným firmám a zároveň odevzdat dalších 15 100 dolarů, které podle úřadů v rámci schématu získal. Americké ministerstvo spravedlnosti uvedlo, že tato dvojice dohromady pomohla vytvořit příjmy ve výši 1,2 milionu dolarů pro Severní Koreu a že schéma zasáhlo téměř 70 amerických společností.
Jak fungovali takzvaní laptop farmers
Vyšetřovatelé označují americké pomocníky výrazem laptop farmers. Jejich úkolem bylo přebírat notebooky, které americké firmy posílaly nově přijatým zaměstnancům. Tito prostředníci následně na zařízení instalovali software pro vzdálenou plochu, díky němuž mohli severokorejští IT pracovníci počítače ovládat na dálku a současně budit dojem, že pracují z území Spojených států. Právě tato technická a logistická podpora byla klíčem k obejití interních kontrol firem.
Celý model je nebezpečný tím, že nejde jen o běžný pracovněprávní podvod. Pokud se takto nasazený pracovník dostane na technickou pozici, může získat přístup k citlivým systémům, vývojovým nástrojům, interní komunikaci nebo bezpečnostní infrastruktuře. V prostředí kryptoměnových firem to znamená potenciální cestu k peněženkám, správě klíčů, infrastruktuře burz, chytrým kontraktům nebo interním dashboardům. Takový přístup nemusí vést jen k okamžité krádeži, ale také k mapování systému pro pozdější útok.
Proč je schéma hrozbou pro krypto firmy
Americké úřady výslovně upozorňují, že severokorejské schéma generuje finance pro tamní režim a zároveň se zaměřuje na technické role v kryptoměnových společnostech. Cílem nemusí být pouze výplata za odvedenou práci, ale i průnik do prostředí firem, které drží digitální aktiva nebo provozují citlivou infrastrukturu. Severokorejské skupiny jsou dlouhodobě spojovány s kybernetickými útoky a krádežemi kryptoměn, a proto je každá podobná infiltrace vnímána jako bezpečnostní riziko nejvyšší úrovně.
Získání zaměstnání pod falešnou identitou může útočníkům poskytnout něco, co je často cennější než jednorázový phishing. Jde o legitimní přístup, firemní zařízení, přístupové údaje, interní důvěru a detailní znalost procesů. V kryptosektoru, kde se běžně pracuje s decentralizovanou infrastrukturou, správou treasury, custody řešeními a produkčními systémy s vysokou hodnotou, může mít i omezený přístup zásadní dopad. Právě proto jsou podobné případy sledovány nejen jako podvod, ale i jako otázka národní a finanční bezpečnosti.
Osm rozsudků za pět měsíců
Nejnovější odsouzení navazují na širší sérii zásahů amerických úřadů. Ministerstvo spravedlnosti uvedlo, že během posledních pěti měsíců dosáhlo už osmi rozsudků proti lidem působícím jako zástupci severokorejských IT pracovníků na území USA. To naznačuje, že úřady schéma nepovažují za izolované incidenty, ale za rozvětvenou a systematicky budovanou síť. Právě role amerických prostředníků byla podle vyšetřovatelů zásadní, protože bez nich by bylo mnohem těžší zakrýt skutečný původ práce a obejít náborové i provozní kontroly firem.
Rychlost, s jakou rozsudky přibývají, zároveň ukazuje, že americké složky zřejmě mají detailnější přehled o metodách, které severokorejské skupiny používají. Ve hře není pouze zasílání notebooků na americké adresy, ale i falešné identity, skrytá správa zařízení a finanční toky směřující do zahraničí. Pro firmy v kryptoprůmyslu je to varování, že standardní due diligence při náboru vzdálených pracovníků už nemusí stačit. Bez důsledné kontroly identity, lokace a přístupu k firemním systémům zůstává riziko vysoké.
Dřívější případy ukazují ještě větší rozsah
Už v dubnu byli podle amerických úřadů odsouzeni také obyvatelé New Jersey Kejia Wang a Zhenxing Wang, kteří provozovali podobné laptop farmy pro Severní Koreu. Jeden z nich dostal trest devět let vězení, druhý sedm let a osm měsíců. Žalobci v tomto případě uvedli, že schéma fungovalo několik let, využívalo ukradené identity 80 osob žijících v USA a severokorejské vládě vyneslo více než 5 milionů dolarů.
Tento případ naznačuje, že nejde pouze o menší podvodné operace jednotlivců, ale o promyšlený model s dlouhodobým fungováním. Využívání odcizených identit, amerických adres i lokálních pomocníků zvyšuje důvěryhodnost falešných kandidátů a komplikuje odhalení při náboru. Pro zaměstnavatele to znamená, že ani dobře vypadající dokumentace, americké kontaktní údaje nebo bezproblémové doručení pracovního zařízení nemusí být zárukou legitimity. Schéma je navrženo právě tak, aby působilo co nejvěrohodněji.
Růst počtu infiltrací a role umělé inteligence
Na alarmující trend upozornila také společnost CrowdStrike. Ve zprávě zveřejněné loni v srpnu uvedla, že počet firem, které během předchozích 12 měsíců zaměstnaly severokorejské pracovníky, vzrostl o 220 procent. Podle této analýzy pronikli tito pracovníci do více než 320 společností. Takové číslo ukazuje, že nejde o okrajový problém, ale o rychle rostoucí bezpečnostní fenomén, který se může dotýkat technologických i finančních firem po celém světě.
Zpráva navíc upozornila, že severokorejští pracovníci ve velké míře využívali umělou inteligenci k automatizaci a optimalizaci procesu podávání žádostí o práci i samotného pracovního výkonu. To může zahrnovat generování životopisů, úpravy komunikace, přípravu odpovědí při pohovorech nebo automatizaci běžných úkolů, které pomáhají udržet iluzi legitimního zaměstnance. Pro zaměstnavatele to znamená, že odhalení falešných kandidátů bude s rozvojem AI stále náročnější. Tradiční kontrolní mechanismy totiž mohou selhávat ve chvíli, kdy je podvod lépe škálovatelný, jazykově přesnější a technicky sofistikovanější.
Napojení na dřívější krádeže kryptoměn
Souvislost s kryptoměnami není v tomto tématu pouze teoretická. Americké úřady už v červnu minulého roku obvinily čtyři Severokorejce z krádeže více než 900 tisíc dolarů v kryptoměnách. Podle obžaloby využili falešné identity k tomu, aby získali vzdálené zaměstnání v blockchainové výzkumné a vývojové společnosti se sídlem v Atlantě a také v jedné srbské kryptofirmě.
Tento případ ukazuje konkrétní scénář, kterého se kryptosektor obává nejvíce. Útočník se nejprve dostane do firmy legální cestou jako údajný zaměstnanec, získá důvěru a technické oprávnění, a teprve poté přichází samotná krádež nebo zneužití infrastruktury. Oproti běžnému externímu útoku jde o mnohem citlivější situaci, protože pachatel může působit uvnitř organizace a pohybovat se v prostředí, kde má alespoň část oprávnění zcela legitimně přidělenou. Pro kryptofirmy je proto bezpečný nábor vzdálených pracovníků stejně důležitý jako ochrana privátních klíčů či audit smart kontraktů.
Co si z případu musí odnést celý sektor
Nejnovější americké rozsudky potvrzují, že severokorejské IT schéma nestojí jen na zahraničních operátorech, ale i na lokálních pomocnících, kteří zajišťují fyzickou infrastrukturu v USA. Bez přebírání zařízení, instalace vzdáleného přístupu a maskování skutečné lokace by byla podobná infiltrace mnohem obtížnější. Z pohledu kryptoměnového odvětví jde o důležité připomenutí, že nejslabším článkem nemusí být pouze software, ale i náborový proces a interní provozní rutina.
Firmy, které zaměstnávají vzdálené specialisty, by měly posílit ověřování identity, kontrolu geolokace, práci s firemními zařízeními i monitoring vzdáleného přístupu. Důležité je také omezovat oprávnění podle skutečné potřeby a citlivé systémy oddělovat tak, aby jeden kompromitovaný účet neotevřel cestu k celé infrastruktuře. Případ laptop farmers ukazuje, že moderní kybernetická hrozba může začínat už ve chvíli, kdy personalista pošle notebook novému zaměstnanci. Pro kryptoprůmysl je to varování, které nelze brát na lehkou váhu.
