על גבי ספר הטלפונים הפנימי של חברה מקליפורניה נראה אנטון קוֹה כמו עוד עובד מרחוק מן המניין: מפתח תוכנה עם פרופיל לינקדאין מוקפד וכתובת IP שמופיעה כאילו היא מגיעה מתוככי ארצות הברית. מאחורי המסך, קוה חי בפועל במעון ממשלתי בסין, מוקף בעמיתים מאותו צוות חשאי של משטר קים ג׳ונג און.
קוה הוא אחד מבוגרי “מסלול העלית” של צפון קוריאה לגאוני מחשבים - ילדים מזוהים מגיל צעיר, מופרדים ממשפחותיהם ומוכוונים למסלול לימודי אינטנסיבי במדעי המחשב, אבטחת מידע ופיתוח תוכנה. לאחר ההכשרה הם נשלחים לסין ולרוסיה, שם תשתית האינטרנט והזהויות הזמינות מאפשרות להם להיראות כעובדי IT לגיטימיים מהמערב ולחמוק מעין הרגולטורים.
לדברי קוה, תפקידם אינו רק לייצר הכנסות אלא גם לחדור לעומק התשתית העסקית והטכנולוגית של חברות מערביות - החל מפלטפורמות ענן ועד קבלני משנה לתחום הביטחוני. הוא עצמו עבד שנים מול חברות אמריקאיות מבלי שאיש מהלקוחות ידע שהוא אזרח צפון קוריאה הפועל במסגרת מנגנון מדינתי.
הזדמנות עידן הקורונה: עבודה מרחוק ככרטיס כניסה
מגפת הקורונה והמעבר ההמוני לעבודה מרחוק הפכו את התרחיש שעד לא מזמן נשמע כקונספירציה למציאות עסקית יומיומית. קוה העיד כי בשיא תקופת העבודה מרחוק נהג לפנות מדי יום לעשרות אמריקאים במסרים כמו “אני מהנדס תוכנה ויש לי בשבילך הזדמנות מצוינת - זה יכול להיות הרבה כסף גם בשבילך” - הצעה המיועדת לגייס “איש קש” שיספק זהות וכתובת בארה״ב.
מודל הפעולה פשוט אך מתוחכם: אזרח אמריקאי (או מערבי אחר) משמש כפנים הרשמיות של העובד - הוא פותח חשבון בלינקדאין, מעביר ראיונות, חותם על חוזה, ולעיתים גם מארח מחשב נייד של החברה בביתו, בעוד מי שמבצע בפועל את העבודה יושב בסין או ברוסיה ומתחבר מרחוק. כך מצליחים הצפון־קוריאנים לעמוד בכל הבדיקות - מסינון מיקומי IP ועד בדיקות רקע - תוך שהם מסתתרים מאחורי זהויות אמיתיות או גנובות.
לפי PSCORE, ארגון זכויות אדם מסיאול שראיין את קוה ועריקים נוספים, העובדים עצמם הופכים ל“פרות חולבות” עבור תוכנית הגרעין: עד 90% מהשכר שהם מקבלים מחברות במערב נלקח ישירות לקופת המשטר. ההערכות בקואליציה בינלאומית בראשות ארה״ב מדברות על הכנסות של עד 800 מיליון דולר בשנה ב‑2024, כשיותר מ‑40 מדינות הותקפו או היו מעורבות באופן כלשהו בסיפור.
כך נראית החדירה: מפרופיל לינקדאין לדיפ-פייק בזום
לצורך ההשתלבות בחברות טק אמריקאיות בונים אנשי העלית מצפון קוריאה זהויות דיגיטליות שלא נופלות משל עמיתיהם בעמק הסיליקון. חברות סייבר דיווחו על פרופילי לינקדאין מזויפים המצוידים בכתובות אימייל של חברות אמיתיות, תצלומי תגי עובד ואפילו היסטוריית תעסוקה מפוברקת אך משכנעת.
מנדיאנט, חטיבת הסייבר של גוגל, מעריכה כי “כמעט כל חברה במדד Fortune 500” נתקלה בשלב כלשהו בבקשות עבודה של עובדים צפון־קוריאנים שהסתתרו מאחורי זהויות זרות, ובחלק גדול מהמקרים גם קלטה אותם בפועל. לדבריו של צ׳רלס קארמאקל, ה‑CTO של Mandiant Consulting, כמעט כל מנהל אבטחת מידע בכיר שעמו דיבר הודה שבחברה שלו עבד לפחות עובד אחד שהתברר כצפון־קוריאני.
כדי לצלוח את שלב הראיונות החזותיים, עברו הצוותים להשתמש בדיפ-פייק ובכלי וידאו‑פילטר מתקדמים שמאפשרים להם להופיע בשיחת זום בזמן אמת כגבר או אישה מערביים, בגיל ומראה התואמים לפרופיל. קורות החיים מלוטשים באמצעות כלי בינה מלאכותית, הפרופילים ברשתות מקצועיות מתוחזקים בקפידה, ובמקרים מסוימים נעשה שימוש במספרי טלפון וכתובות בארה״ב שמנוהלים על ידי “חוות לפטופים” - רשתות של מחשבים הממוקמים בבתים ומשרדים ברחבי ארה״ב ומחוברים מרחוק לעובדים בסין וברוסיה.
“חוות הלפטופים”: התשתית הסמויה על אדמת ארה״ב
במרכז הסכמה נמצאות אותן “חוות לפטופים” - לוקיישנים פיזיים בארה״ב שבהם מחזיקים עשרות מחשבים ניידים שחוברו לתשתית הארגונית של החברות המעסיקות, אך מופעלים בפועל ממרחק אלפי קילומטרים. חוקרי ה‑FBI תיארו חקירות שבהן נתפסו יותר מ‑130 מחשבים ניידים ב‑29 אתרים ב‑16 מדינות שונות בארה״ב, לצד עשרות חשבונות בנק ואתרים פיקטיביים ששימשו להלבנת הכספים.
בעלי הבתים שבהם הוצבו המחשבים קיבלו, ברבים מהמקרים, תשלום צנוע עבור “אירוח ציוד” והוצגו בפניהם סיפורים על חברות סיניות או פרילנסרים זרים הזקוקים לחיבור אמין לאינטרנט בארה״ב. רק חלקם ידעו שהם מסייעים בפועל לרשת כלכלית שמממנת תוכנית גרעינית במדינה המבודדת ביותר בעולם.
משרד המשפטים האמריקאי דיווח כי דרך חוות הלפטופים ושרשרת המתווכים הצליחו הצפון־קוריאנים להשתלב ביותר מ‑100 חברות אמריקאיות, כולל לפחות חברה אחת העובדת מול הממשל הפדרלי. באחד המקרים שזכו לפרסום, קבלן הגנה מקליפורניה שעסק בפיתוח ציוד מבוסס AI העביר - מבלי לדעת - קבצים ונתונים רגישים שהגיעו לידי גורמים מעבר לים.
האכיפה מתהדקת: פשיטות, תפיסות והרשעות
לאחר שנים של התרעות, משרד המשפטים האמריקאי העלה הילוך. ביוני 2025 הודיעה וושינגטון על מבצע מתואם בכל רחבי ארה״ב נגד רשת עובדי ה‑IT הצפון־קוריאנים, שכלל פשיטות על 29 חוות לפטופים ב‑16 מדינות והקפאת עשרות חשבונות פיננסיים ואתרים ששימשו להסוואת זרימת הכסף למשטר בפיונגיאנג.
בנובמבר 2025 הגיעו גם ההרשעות הראשונות בקנה מידה נרחב: ארבעה אזרחים אמריקאים ואזרח אוקראיני הודו באשמה בכך שסייעו לצפון־קוריאנים להשיג עבודות מרחוק ביותר מ‑130 חברות בארה״ב, בין היתר על ידי מכירת זהויות גנובות, אירוח מחשבים ניידים ותיאום תהליכי גיוס ושיבוץ. במסגרת ההסדרים חולטו מיליוני דולרים, כולל יותר מ‑15 מיליון דולר במטבעות קריפטו שנגנבו בפשעים קודמים של האקרים מצפון קוריאה.
גורמים ב‑FBI ובקהילת המודיעין מזהירים כי גם לאחר הגל האחרון של האכיפה, האיום רחוק מלהיעלם, וחברות שאינן מזהות את הבעיה פשוט אינן מצליחות לגלות אותה. “אם אתם לא רואים את זה – זה לא מפני שזה לא קורה לכם, אלא מפני שאתם לא מזהים את זה”, צוטט אומדן של בכיר בגוגל קלאוד, שמלווה את החברות בניסיונות לאתר ולסלק עובדים שמתחזים למהנדסי תוכנה לגיטימיים.
מאחורי המספרים: חיי היום‑יום של מפתח צפון‑קוריאני
מאחורי כותרות הענק והסכומים הדמיוניים עומד גם סיפור אנושי של עובדים שחיים בתנאי לחץ קיצוניים. קוה סיפר כי חלק את חדרו עם עוד תשעה עובדים, בסוג של חדר עבודה שבו דיוקנאות משפחת קים תלויים על הקיר, והעבודה נמשכת עד 16 שעות ביום.
לכל עובד נקבע יעד חודשי בדולרים - תחילה 5,000 דולר, שהועלה בתקופת הקורונה ל‑8,000 דולר - והפער בין ההכנסה בפועל ליעד מתפרש כסימן לחוסר נאמנות או לחוסר מקצועיות. העובדים מקבלים לידיהם כ‑10% בלבד מן הסכום, בעוד יתרת השכר מועברת, דרך רשת של חשבונות וגורמים מתווכים, לקופת המדינה בפיונגיאנג.
לדבריו, נקודת המפנה האישית הגיעה בלילה שבו הצליח, לראשונה, לעקוף את מנגנוני הצנזורה ולחפש בגוגל מידע על הרעב הגדול בצפון קוריאה בשנות התשעים - חשיפה שלטענתו ערערה את יסודות האמונה שלו במשטר. זמן לא רב לאחר מכן החליט לברוח, ומצא את דרכו לדרום קוריאה, שם הוא עובד כיום כאיש IT “רגיל” ותוהה האם חבריו לשעבר רואים בו בוגד או מבינים את בחירתו.
כעת: אחריות חברתית
הפרשה מציבה סימן שאלה כבד גם מעל מערכי הגיוס והאבטחה של חברות המערב, ובמיוחד ענקיות הטכנולוגיה והקבלנים הביטחוניים. מומחי סייבר ואכיפה ממליצים לחברות להדק את בקרות ה‑KYC לעובדים, לדרוש אימות פיזי של זהויות, לבדוק חריגות בשימוש ב‑VPN ו‑VDI, ולנטר דפוסי עבודה בלתי שגרתיים במחשבים מרוחקים.
במקביל, ההמלצה למנהלי אבטחת מידע ברורה: להתייחס לכל מפתח מרוחק כאל וקטור סיכון אפשרי - לא רק כאל משאב אנושי - ולבחון מחדש את הנחת היסוד שלפיה עובד שמספק קוד איכותי הוא בהכרח עובד שתכליתו מקצועית בלבד. כפי שציין אחד הבכירים המעורים במאבק, “מספיקים כמה מפתחי עלית, שמתחזים לעובדי קצה תמימים, כדי לממן טיל בליסטי אחד נוסף של קים ג׳ונג און”.
0 תגובות