本文原刊于《华尔街日报》,端传媒获授权转载。目前,《华尔街日报》中文版全部内容仅向付费会员开放,我们强烈推荐您购买/升级成为“端传媒尊享会员”,以低于原价 70% 的价格,畅读端传媒和《华尔街日报》全部内容。
《华尔街日报》调查发现,一个与朝鲜有关的团体利用虚假社交媒体身份在求职招聘平台上招募软体开发工作,并将其分包给全球程序员。该做法或给朝鲜带来数百万美元硬通货。这表明朝鲜可轻易利用数字经济工具来规避旨在禁止其IT交易的制裁。
朝鲜特工已借助美国技术及社交媒体,来逃避由美国牵头的制裁并获取收入,他们所利用的很多漏洞曾被俄罗斯人用于干预2016年美国大选。
这些隐藏真实身份的朝鲜人已能在Upwork、Freelancer.com等求职招聘平台上发布招聘信息并找到客户。他们借助微软(Microsoft Co., MSFT)旗下网站Github开发软体,通过Slack通讯服务进行交流,并要求通过Paypal付款。他们以领英(LinkedIn)个人资料来矫饰虚假身份,并以Facebook页面来推广虚假业务。
简言之,朝鲜利用了让上述科技平台遭受更密切政治审视的诸多漏洞,表明朝鲜可以非常容易地利用数字经济工具来规避旨在禁止其信息技术(IT)往来的制裁措施。
这些细节是《华尔街日报》(The Wall Street Journal)通过对一家设在中国的朝鲜企业的调查发现的。该企业为美国和其他地区客户开发手机游戏、应用程序、网上机器人程序和其他产品。这些客户表示完全不知道自己是在与朝鲜人打交道。
当被告知自己聘请的一位重新设计网站的程序员是一名朝鲜人时,澳大利亚企业家Donald Ward称,他从没想过朝鲜人会在网上开展IT业务;这名朝鲜人是在中国东北城市沈阳附近经营业务的一个朝鲜人团体的一员。Ward原以为该程序员是日本人。
《华尔街日报》是在查看了一名曾在马来西亚被捕的朝鲜特工的电脑和其他设备后,发现的这家位于沈阳附近的团体。该朝鲜特工被捕是因为涉嫌参与了朝鲜领袖金正恩(Kim Jong Un)同父异母哥哥去年在马来西亚的遇刺案。据马来西亚调查人员称,一辆当时将该谋杀案嫌犯载离吉隆坡机场的车辆登记在该朝鲜特工的名下。该特工否认有犯罪行为,已被驱逐出境。
这位特工的电子设备显示,他与上述沈阳团体沟通过朝鲜可以从中赚钱的项目,他在通话中使用了朝鲜特有的韩语词汇。
为了阻止平壤方面进一步开发核武器和导弹项目,联合国去年收紧了对朝鲜的制裁措施并禁止该国煤炭出口,自那时起,寻找到新的生意机会对朝鲜来说显得尤为关键。美国财政部曾在7月份警告称,在海外工作的朝鲜人正通过提供IT服务来获取回报,这些朝鲜人会通过幌子公司和自由职业网站的匿名特点来隐藏自己的真实身份。美国财政部上周四对两家俄罗斯和中国科技公司采取制裁措施,因它们被朝鲜用作获取收入的幌子公司。
与客户的访谈以及Freelancer.com上的记录揭示了这个沈阳团体所赚得的至少数万美元的细节。追踪朝鲜活动的专家表示,朝鲜利用大量虚假社交媒体身份可能从软体开发中获取了数以百万计的款项。该团体从客户那里获得资金,并将工作分包给全世界的程序员,这些程序员称,他们没有得到报偿就被终止工作。
加州蒙特雷詹姆斯·马丁防扩散研究中心(James Martin Center for Nonproliferation Studies)朝鲜问题专家Andrea Berger称,这对朝鲜来说是很大的变化。
一位名叫Ri Kwang Won的男子似乎是沈阳团体的核心人物。因吉隆坡机场暗杀事件而被捕的朝鲜特工的手机和电脑中,出现有Ri的名字。该特工曾就一项计划联系Ri,希望通过入侵软体从一家美国公司获得医学图像,然后转卖给其他地方的医院,但该计划没有付诸实施。
上述驻马来西亚特工的手机里有一个存在Ri名下的邮件地址,为multicpu@outlook.com,通过这个地址,《华尔街日报》得以确认Ri及其团队建立的逾50个虚假社交媒体资料和网站,从而能更清晰地了解他们的活动。
这个被捕特工的电脑中存有Ri的一个中国电话号码。接听这个号码电话的男子自称Ri Kwang Won,他的中文带有朝鲜口音。他承认曾涉及医学图像软体以及一个被称为Everyday-Dude.com的互联网电视业务,但不予回答更多问题。
Everyday-Dude.com的Facebook页面显示出拥有数百个程序的软体包,在一名记者浏览这个页面的几分钟后就被移除。在这个账号的一千多个Facebook好友中,一些好友的页面也随即消失。
Facebook表示,不知道朝鲜人利用其平台,但该公司致力于剔除使用假名的账户资料。该公司暂停了《华尔街日报》发现的大量与朝鲜有关的账户,Facebook称,其中一个账户似乎不属于真实的人。在关闭该账户后,很快出现另外一个有着相同朋友和照片的账户资料。
领英证实,《华尔街日报》发现的账户资料是假的,称至少有两个账户已经受到限制。Upwork表示,该公司禁止朝鲜人使用,致力于打击欺诈行为。数个追踪至沈阳团队的Upwork账户现已下线。Upwork运营着一个自由程序员聚集的网站。
运营类似业务的Freelancer.com称,正在调查可疑账户,但没有发现与朝鲜有关系。该公司关闭了一个涉嫌发送垃圾邮件的账户。即时消息服务Slack称,当被告知存在问题时,该公司会采取适当行动。Paypal和Twitter不予置评。Github没有回复记者的置评请求。
外界对于Ri以及他何时抵达的沈阳知之甚少。沈阳是位于中朝边境附近一个人口约一千万的中国工业城市,美国官员曾将沈阳描述为朝鲜从事非法活动的一个枢纽。Ri的犯罪手法似乎经常涉及在网上假冒他人,创建社交媒体资料,借此推销其商业服务。
中国外交部一位代表称:“不清楚你所描述的细节。”
朝鲜裔中国公民Qian Dongguang称,他在2016年与Ri取得联系,当时Ri说服他协助成立一家公司,出售Ri所称的朝鲜医学图像软体。
Qian说:“他们告诉我这件事很重要,要我保密。”他还称,Ri和其他跟他一起的人都是朝鲜人。
Qian说,他们在其不知情的情况下使用了他的身份,利用这一身份在Freelancer.com以及Upwork上建立并运行账户,并利用这些账户来申请电脑编程工作。这些账户也使用了Ri的电子邮箱。
这个团体还利用Qian的身份在Facebook以及领英上设立账户,并将Qian描述成曾在清华大学就读的电脑程序员。但实际上,Qian只在韩国一所学院学过烹饪,之后从事过司机等各种临时工作。
Ri似乎曾用他自己的电子邮箱开设过一个Facebook账户,账户名称为Pro Dos,账户照片是一名亚洲女性。
他还开过一个Twitter账户,账户名称为@multicpu,在与一名美国程序员进行的Twitter交流中,他交替使用了Qian Dongguang和Pro Dos这两个名字。
斯里兰卡程序员Ranga Bandara称,Qian Dongguang曾通过Freelancer.com联系到他,希望他为印度书评网站Siteabook开发一款应用。Siteabook的竞争对手是亚马逊(Amazon.com Inc, AMZN)旗下网站Goodreads。Bandara称,他当时以为自己是在和中国程序员Pro Dos打交道。他说,他开发了这款应用,对方仍欠他800美元。
Siteabook的所有者、印度人Manikandan Krishnan称,一个转包商雇用了一些程序员,他以为这些程序员是中国人。
到今年,Ri的团队已开始冒充波士顿公司SQ Technologies Inc。后者开发了一款提供健康信息的应用。SQ的创始人之一Fah Sathirapongsasuti是泰国人,生活在美国,他拥有哈佛大学和斯坦福大学学位,但他最终关闭了这家公司。
受雇于这个朝鲜团体的程序员在接受采访时说,这个团体山寨了SQ Technologies的网站,只是网址略有不同,并在Slack上建了一个群组,冒充SQ高管。在假SQ网站上, Ri的电邮被广泛使用;Ri所在团体的图片还被用于假SQ网页。此外,该团体还在Upwork和LinkedIn上建了假的资料页,扮成来自美国、日本等地的程序员。
拉到业务以后,该朝鲜团体会寻找编码员来做应用程序开发、图形设计等工作。Freelancer.com上的一则招聘信息称:“SQ Technology是一家实实在在的公司。”一些客户以及同意为该团体工作的程序员称,他们上网对其进行了调查,在Facebook、LinkedIn等平台上看到那么多资料页以后便放了心。
佛罗里达州一家名为LinkedIn Lead Ninja的营销公司便雇用过假SQ Technologies。LinkedIn Lead Ninja当时要找一些程序员帮其打造一款机器人,以梳理LinkedIn上的信息,为客户找到潜在营销对象。该公司称其在Upwork上雇用了假SQ Technologies。
据巴基斯坦数据专家Dharmindar Devsidas所述,Ri的团体曾经在Upwork上联系过他,出价3,500美元让其为包括LinkedIn Lead Ninja bot在内的项目写代码。据一些来自韩国、印度及其他地区的程序员称,Ri的团体也在Upwork以及Freelancer.com平台上以SQ Technologies相关账户联系过他们。
Devsidas等程序员说,他们在Slack上接受了面试,他们以为面试官是SQ Technologies的联合创始人。这些程序员说,他们被面试方承诺的美国工作签证所打动。Devsidas其后签订了一份保证每周工作40个小时的劳动合同。
此后,Devsidas利用GitHub来为LinkedIn Lead Ninja项目写编码。GitHub是一个允许远程协作的软体开发平台。根据一位程序员提供的屏幕截图,这些程序员的工作时间由Ri的电子邮件设立的账户来追踪。
这些程序员说,他们还做了其他项目,包括为加拿大电商平台Shopify编写方便批量采购的聊天机器人程序、为一家美国求职公司建网站、为前述澳大利亚企业家Ward完成平面设计项目,Ward当时正为一家批发企业建网站。这些工作的酬劳从几百到几千美元不等。
有些程序员生出疑虑。Devsidas表示,自称SQ Technologies高管的人告诉他不要在Slack上与其他程序员沟通。他觉得这个要求很奇怪,决定置之不理。
Devsidas称,今年夏天他得知其他程序员和他一样也没拿到付款。接受《华尔街日报》采访的程序员也这么说。
根据《华尔街日报》见到的消息,当Devsidas把涉嫌欺诈行为反映给Slack时,客服代表建议他联络当地执法机构。Slack对此事不予置评。
Devsidas联系了SQ Technologies的联合创始人Fah。除此以外,Fah还收到了其他没有拿到工资的程序员发出的怒气冲冲的电子邮件。Fah说,他把此事报告给了美国联邦调查局。
Fah曾试图调查到底是什么人策划了这件事情。他联系了与假SQ Technologies相关的人,一个自称印度人的人回复了他。此人称,他无法向程序员付款,因为他非常穷,此人还说,他会停止SQ Technologies的活动。
当Fah说自己联系了FBI之后,此人回复道:“FBI也会来印度吗?我不喜欢这样。”
《华尔街日报》向此人的电子邮件发了询问邮件,但没有收到回复。FBI不予置评。
LinkedIn Lead Ninja称,最后,这个朝鲜团体以Paypal付款的方式从LinkedIn Lead Ninja赚到了数千美元,但没有完成这个项目。程序员则表示,他们一分钱都没拿到。
LinkedIn Lead Ninja的一位管理人士Dane Richardson称,当知道请来的那些人不是他们原来以为的程序员后,公司感到非常震惊。Richardson说,LinkedIn Lead Ninja停止了与假SQ Technologies的合作,没有损失客户数据。Richardson的头衔是“首席问题解决者”。
与此同时,身在沈阳的Ri似乎还在负责其他业务,包括用新名称再现互联网电视订阅服务Everyday-Dude.com,并通过Facebook和领英页面进行营销。
为了增添人气,新页面发布了与欧洲足球俱乐部和俄罗斯世界杯有关的内容,到7月中旬又推出了“随时随地畅享”的“15天免费试用版”促销活动。Facebook当月晚些时候将这个页面关停。
后来,一名领英用户开始查看一位《华尔街日报》记者的领英信息,该用户的头像和已关停的Pro Dos Facebook页面上的照片相同。
这名用户声称曾在香港一所大学就读。而这所大学表示从未听说过此人。