Mreža hakera iz Severne Koreje godinama je koristila ukradene identitete građana Srbije i Bosne i Hercegovine i u firmama na zapadu zarađivala novac za režim u Pjongjangu, piše BIRN.
Prema pisanju BIRN-a, samo tokom 2024. godine, Severna Koreja je „verovatno zaradila između 350 i 800 miliona dolara od svojih IT radnika širom sveta“.
Među milionima naloga na popularnoj platformi za freelance poslove Guru nalazio se i profil sa fotografijom mlade žene sa crvenim karminom i zelenom majicom. Na nalogu je pisalo da je ona viši softverski inženjer iz Bosne i Hercegovine sa 50 završenih projekata.
„Možete me kontaktirati u bilo kom trenutku. Dostupna sam i u evropskim i u američkim vremenskim zonama“, glasi poruka na engleskom jeziku u opisu njenog profila.
Iako je na stranici stajalo njeno ime, a njena stara imejl adresa navedena kao kontakt, žena sa fotografije u stvarnosti nije imala nikakve veze sa ovim nalogom.
Njen stari imejl je jedan od 25 mejlova izlistanih u izveštaju Multilateralnog tima za praćenje sankcija (MSMT), tela zaduženog za praćenje pokušaja Severne Koreje da zaobiđe sankcije Ujedinjenih nacija. Među zloupotrebljenim imenima bilo je i ime muškarca iz Srbije, piše BIRN.
Njihove profile na Guru platformi napravili su i koristili severnokorejski hakeri kako bi dobijali poslove u američkim i evropskim kompanijama, a „barem deo“ tih prihoda korišćen je za finansiranje severnokorejskog „razvoja i proizvodnje naoružanja, domaćih infrastrukturnih projekata i nabavke robe široke potrošnje“, navodi se u izveštaju MSMT-a. Samo tokom 2024. godine, Severna Koreja je „verovatno zaradila između 350 i 800 miliona dolara od svojih IT radnika širom sveta“.
Profil žene iz Bosne više nije dostupan na platformi. Za njega je saznala tek kada ju je kontaktirao BIRN.
„Najviše bih volela saznati, možda, zašto baš ja“, rekla je ona u razgovoru sa novinarima tražeći da se ne otkriva njeno pravo ime i prezime.
Poslovi uz pomoć ukradenih identiteta
BIRN je otkrio naloge na nekoliko platformi za traženje poslova koji su otvoreni korišćenjem starog mejla žene iz Bosne, za koji kaže da nije koristila godinama. Analizirajući digitalne tragove, BIRN je utvrdio da se toj e-mail adresi pristupalo čak i prošlog meseca.
Na Guru nalogu otvorenom na njeno ime, navodi se niz IT veština, kao što su poznavanje programskih jezika Python i Javascript, kao i cenovnik od 30 dolara po satu rada. Kao njena lokacija navedeno je Sarajevo, iako ona ne živi u tom gradu.
„Profilna slika koja mi je korištena je jako, jako stara, toliko stara da sam, ono, zaboravila skroz da je imam“, kaže ona za BIRN.
Hakeri su koristili i identitet muškarca iz Srbije po imenu Marko Zrinjanin. I u njegovom slučaju, imejl nalog koji su koristili hakeri bio je aktivan prošlog meseca.
Novinari BIRN-a su potvrdili da je Marko Zrinjanin stvarna osoba i stupili u kontakt sa njim.
On je odbio razgovor uživo, a u pisanom odgovoru je naveo da ne poseduje email adresu koja se navodi u izveštaju, te da su fotografije na lažnim profilima verovatno preuzete sa nekog od IT foruma ili sajta na kojem je bio registrovan, poput HashNode-a ili Spiceworks-a.
„U prvom momentu sam bio zabrinut, ali kada sam shvatio da su moje ime i podaci korišćeni samo da se zaobiđu sankcije zapadnih ugnjetavača koji propagiraju kvazi demokratiju i lažne slobode, osećao same se dosta bolje”, rekao je Zrinjanin za BIRN.
Na nalogu na portalu Guru stoji da je Zrinjanin na toj platformi od 2018. godine i da je od tada zaradio 43 hiljade dolara, radeći za ukupno devet firmi. Kao mesto boravka pogrešno mu je naveden Luisvil u Sjedinjenim Američkim Državama.
„Slobodno me kontaktirajte kako bismo razgovarali o detaljima vašeg projekta i o tome kako mogu da vam pomognem da ostvarite svoje ciljeve“, navodi se na profilu. „Veoma sam fleksibilan kada je reč o radnom vremenu i mogu da se uskladim sa vašim rasporedom više od šest sati dnevno.“
Hakeri iz severnokorejske kompanije pod sankcijama
U izveštaju MSMT-a kao hakeri koji stoje iza lažnih naloga povezanih sa Bosnom i Srbijom identifikovani su An Čol Hun i Ri Kvang Hun.
Kako se navodi, obojica su zaposleni u kompaniji Korea Mangyongdae Computer Technology Corporation (KMCTC), IT korporaciji sa sedištem u kineskim gradovima Šenjang i Dandong, na granici sa Severnom Korejom.
Matična organizacija te korporacije je Kancelarija za upravljanje 607, navodi MSMT, koja deluje u okviru severnokorejskog Ministarstva industrije atomske energije.
To ministarstvo upravlja severnokorejskim nuklearnim programom i pod strogim je međunarodnim sankcijama.
Nakon objavljivanja izveštaja MSMT-a, američko Ministarstvo finansija uvelo je sankcije kompaniji KMCTC, navodeći da IT radnici KMCTC-a koriste kineske državljane kao posrednike u bankarskim transakcijama kako bi prikrili poreklo novca koji su nelegalno zaradili.
Za An Čol Huna, MSMT piše da je, pored identiteta žene iz Bosne, koristio još tri lažna identiteta – dva iz Sjedinjenih Američkih Država i jednim iz Argentine.
Pošto je saznala za krađu identiteta, žena iz Bosne je uspela da pristupi svom starom imejlu. Kaže da joj je najveći šok što zapravo nije pronašla „ništa interesantno“.
„Znaju šta rade i, verovatno, kada su bili su bili razotkriveni, sve je obrisano“, rekla je.
„ Mislim da sam mogla mnogo gore proći. Mogla sam imati legalnih problema s tim, mogla sam također imati, ne znam, netko bi mogao uzeti novac…ili doći do nekog kontakta, možda nekog i mog bližnjeg…“
Kako hakeri biraju žrtve
Maksim Arkilijer, analitičar za obaveštajne podatke o sajber pretnjama u francuskoj kompaniji Sekoia, koja je učestvovala u izradi izveštaja MSMT-a, objašnjava da su za hakere najbolje mete mladi profesionalci sa izgrađenim profilom u IT sektoru i prisustvom na poslovnoj mreži LinkedIn.
„Prikupljaju sve što mogu, i to izgleda kao mnogo autentičniji identitet od onoga koji bi mogli da naprave uz pomoć veštačke inteligencije. Njima [hakerima] je važno da je identitet stvaran, čist i da na papiru deluje evropski, kako ne bi izazivao sumnju“, rekao je Arkilijer za BIRN.
On dodaje i da severnokorejski hakeri u ciljanim zemljama često imaju pomagače, čiji je zadatak da umesto njih preuzmu laptopove zapadnih kompanija u kojima hakeri rade pod lažnim imenima.
Ti kompjuteri hakerima omogućavaju da zaobiđu provere, kao što su one o vremenskoj zoni ili IP adresi, koju nosi svaki računar i koja pruža određene podatke o tome u kojoj državi se on nalazi.
Amori Garson, inženjer za sajber bezbednost u firmi Sekoia, kaže da tako hakeri mogu da nastave da rade za zapadne kompanije mesecima, pa čak i godinama.
„Na kraju, severnokorejski operativac se prijavljuje sa bilo kog mesta u svetu, a kompanija vidi samo legitimnu vezu sa svojim zaposlenim“, objašnjava Garson.
U analizi koju je objavila Google Threat Intelligence Group 2025. godine piše da se ovakve prevare, koje su tradicionalno bile usmerene na američko tržište rada, šire i na Evropu.
Isplate se primaju preko kriptovaluta, TransferWise-a i Payoneer-a, što ukazuje na pokušaj sakrivanja porekla i krajnjeg odredišta novca.
Bojan Perkov iz SHARE Fondacije kaže da su se severnokorejski hakeri ranije infiltrirali u organizacije od interesa tako što su pronalazili saradnike koji bi se u njihovo ime prijavljivali za poslove koje bi hakeri potom obavljali na daljinu, ili tako što su se sami prijavljivali i manipulisali procesom zapošljavanja.
Na taj način, rekao je, „ostvaruju pristup poverljivim informacijama, korporativnim uređajima i mrežama“.
„Srbija je poznata po takozvanom autsorsingu IT poslova, naročito kada je reč o kompanijama iz Zapadne Evrope i SAD. Pretpostavka je da je to jedan od razloga zašto su se opredelili da kradu identitete baš srpskih državljana“, kaže Perkov za BIRN.
Ceo tekst možete proičitati OVDE.