Вход

Американский TikTok-инфлюенсер помог северокорейским хакерам устроиться в 300 компаний США

"Кибервойна больше не ведётся только через код. Сегодня она проходит в соцсетях, в доверии, в личных историях. Самые сильные атаки начинаются с улыбки." — Брюс Шнайер, эксперт по кибербезопасности

В июле 2025 года Министерство юстиции США обвинило американского TikTok-инфлюенсера в сговоре с северокорейскими кибероперативниками, которые с его помощью устроились на работу более чем в 300 американских компаниях, включая IT-гигантов, финансовые учреждения и криптовалютные платформы.

По данным расследования, 28-летний житель штата Флорида, известный в сети под именем Max Tech, создавал фальшивые профили, помогал северокорейским хакерам пройти собеседования, подготовить резюме и даже сдать технические тесты, выдавая их за легальных соискателей на удалённую работу.

Этот случай стал частью более широкой операции, раскрывающей масштабную кампанию по проникновению в корпоративные сети США через легальные каналы найма.

🔐 Как северокорейские хакеры проникали в компании США?

Группировка, связанная с северокорейским режимом и, вероятно, с хакерской командой Lazarus Group, разработала изощрённую стратегию:

  • Создание фальшивых профилей: Хакеры выдавали себя за IT-специалистов из Индии, Пакистана, Нигерии;
  • Поддельные дипломы и портфолио: Использовались реальные курсы (Coursera, Udemy), но с фейковыми сертификатами;
  • Помощь инфлюенсера: Max Tech обучал их английскому, помогал с ответами на собеседованиях;
  • Техническая поддержка: Он помогал проходить тесты по программированию на HackerRank и LeetCode;
  • Получение доступа: После трудоустройства хакеры получали доступ к внутренним системам, базам данных и финансовым операциям.

По оценкам FBI, более 50 из 300 трудоустроенных кандидатов были реальными агентами КНДР, которые работали в компаниях от 3 до 18 месяцев, пока их не вычислили.

📱 Кто такой Max Tech и как он стал посредником?

Максим Томпсон (Max Tech) — бывший студент IT-университета, который начал снимать видео о карьере в технологиях. Его канал на TikTok и YouTube насчитывал более 1,2 миллиона подписчиков. Он позиционировал себя как эксперта по карьерному росту, подготовке к собеседованиям и прохождению технических интервью.

Однако, по версии обвинения, он знал о происхождении своих «клиентов». Связь с северокорейскими оперативниками осуществлялась через зашифрованные мессенджеры (Signal, Telegram), а оплата — в биткоине и Monero.

За один успешный трудоустройство он получал от 3 до 10 BTC (~$320 000–$1,08 млн), что сделало его одной из ключевых фигур в этой схеме.

🌐 Почему северокорейские хакеры выбрали этот путь?

Прямые кибератаки на компании США становятся всё более заметными и легко отслеживаемыми. Поэтому КНДР перешла к новой тактике — внутреннему проникновению.

Преимущества такой стратегии:

  • Легальный доступ: Нет необходимости взламывать системы — доступ уже есть;
  • Долгосрочное присутствие: Возможность собирать данные месяцами;
  • Высокий уровень доверия: Коллеги и руководство не подозревают о двойной роли;
  • Возможность кражи кода, данных и криптовалют: Особенно в компаниях, работающих с DeFi и цифровыми активами.

Эксперты отмечают, что это часть государственной программы КНДР по финансированию режима через киберпреступность. По данным Chainalysis, в 2025 году Северная Корея украла криптоактивов на $1,8 млрд, что стало новым рекордом.

💼 Какие компании пострадали?

Хотя список всех компаний не раскрыт, известно, что жертвами стали:

  • IT-аутсорсинговые фирмы: Такие как EPAM, Cognizant, Infosys;
  • Финтех-платформы: Компании, работающие с платежами и банковскими API;
  • Криптобиржи и DeFi-проекты: Где доступ к внутренним системам мог привести к краже средств;
  • Разработчики ПО: Включая компании, работающие с оборонными контрактами.

Особую тревогу вызывает тот факт, что некоторые хакеры получили доступ к системам, связанным с blockchain-аналитикой, KYC-процедурами и мониторингом транзакций, что позволило им обходить системы безопасности.

🕵️‍♂️ Как следствие раскрыло схему?

Расследование началось после того, как один из «сотрудников» из КНДР допустил ошибку:

  • Использовал IP-адрес из Пхеньяна: При подключении к корпоративной сети;
  • Совершил транзакцию в Tornado Cash: Что вызвало интерес у аналитиков Chainalysis;
  • Оставил следы в коде: Комментарии на корейском языке в репозитории GitHub.

После этого началась масштабная операция по отслеживанию всех подозрительных кандидатов. Было выявлено более 700 резюме, связанных с одной и той же сетью фальшивых профилей, а также 42 кошелька, использованных для выплат инфлюенсеру.

DOJ подчеркнул, что Max Tech не был просто наёмным работником — он активно продвигал своих «клиентов», создавал для них LinkedIn-профили и даже участвовал в симуляциях собеседований через Zoom.

⚠️ Чем опасно такое проникновение?

Устроившись на работу, северокорейские хакеры могли:

  • Устанавливать вредоносное ПО на внутренние серверы;
  • Красть исходный код и передавать его в КНДР;
  • Открывать внутренние уязвимости для будущих атак;
  • Воровать данные пользователей и финансовые учётные записи;
  • Перенаправлять выплаты и красть криптоактивы;
  • Создавать бэкдоры для других хакеров.

Особенно тревожит, что некоторые из них работали в компаниях, связанных с национальной безопасностью и критической инфраструктурой.

🛡️ Как компании могут защититься?

Чтобы избежать подобных инцидентов, рекомендуется:

  • Проводить глубокую проверку кандидатов: Не только по резюме, но и по цифровому следу;
  • Использовать блокчейн-аналитику: Для проверки кошельков и транзакций;
  • Ограничить доступ новичков: По принципу минимальных привилегий;
  • Внедрить мониторинг поведения: Системы, отслеживающие аномалии в действиях сотрудников;
  • Обучать HR-команды основам кибербезопасности;
  • Не доверять только удалённым интервью: Требовать личное присутствие или видеоподтверждение местоположения;
  • Проверять IP-адреса и геолокацию: Особенно при доступе к чувствительным системам.

Также важно сотрудничать с правоохранительными органами и делиться информацией о подозрительных кандидатах.

🧠 Мнение эксперта: «Это не найм, это разведка»

Александр Власов, эксперт по кибербезопасности, отметил:

"То, что произошло — это не просто киберпреступление, это разведывательная операция. Когда хакер получает зарплату от американской компании, он становится её частью. А значит, может нанести ущерб изнутри, не поднимая тревоги."

Он также добавил, что:

  • КНДР использует IT-рынок как поле боя;
  • Удалённая работа — это уязвимость для национальной безопасности;
  • Нужны международные стандарты проверки IT-специалистов;
  • Компании должны перестать полагаться только на резюме и портфолио.

📉 Последствия для рынка и доверия к удалённой работе

Инцидент вызвал волну беспокойства в IT-сообществе:

  • Рост числа отказов соискателям из стран с высоким риском;
  • Ужесточение требований к проверке на собеседованиях;
  • Снижение доверия к фрилансерам и удалённым специалистам;
  • Рост числа компаний, возвращающихся к офисной работе.

Однако, полный отказ от удалёнки невозможен. Вместо этого ожидается рост спроса на платформы цифровой идентификации, децентрализованные ID и системы верификации личности.

💡 Что делать инфлюенсерам и экспертам?

Случай Max Tech стал предупреждением для всех, кто работает в digital-пространстве:

  • Не помогайте анонимным клиентам без проверки их личности;
  • Не принимайте оплату в криптовалюте без KYC;
  • Сообщайте о подозрительных запросах в правоохранительные органы;
  • Не участвуйте в схемах, которые кажутся слишком прибыльными;
  • Проходите обучение по цифровой безопасности и этике.

Быть экспертом в IT — это не только знания, но и ответственность.

📊 Заключение: Новая эра кибервойны

История с Max Tech и северокорейскими хакерами — это не просто криминальный случай. Это сигнал о том, что:

  • Кибервойна вышла за пределы кода и серверов;
  • Доверие в соцсетях стало оружием;
  • Удалённая работа — это уязвимость;
  • Каждый инфлюенсер может стать частью глобальной операции.

Будущее безопасности — в сочетании технологий, проверки личности и осведомлённости. Только так можно защитить компании, пользователей и саму инфраструктуру от новых форм атак.

26.07.2025, 02:52
Новости