Ukrainare döms till fem års fängelse för att hyra ut stulna amerikaners identiteter åt nordkoreanska fjärrarbetare

En federal domstol i USA har dömt Oleksandr Didenko, 29 år och bosatt i Kiev, till fem års fängelse för att ha hjälpt nordkoreanska arbetare att få anställningar vid dussintals amerikanska företag med hjälp av stulna amerikanska identiteter, rapporterar TechCrunch. Åklagare uppger att Didenko drev en webbplats kallad Upworksell som lät utländska arbetare köpa eller hyra identiteter; det amerikanska justitiedepartementet säger att han hanterade mer än 870 stulna identiteter.

Upplägget är nedslående tidstypiskt: falska meritförteckningar och distansintervjuer i ena änden, och så kallade bärbar-dator-uppställningar i den andra – rum i USA där betalda mellanhänder tar emot och förvarar arbetsgivarens utlämnade datorer så att arbetaren utomlands ser ut att arbeta inrikes. TechCrunch skriver att Didenko betalade personer i Kalifornien, Tennessee och Virginia för att hysa dessa apparater och därmed möjliggöra fjärråtkomst för nordkoreanska arbetare.

Säkerhetsforskare har beskrivit Nordkoreas verksamhet med ”informations­teknik-arbetare” som ett tredubbelt hot: kringgående av sanktioner, datastölder och utpressning. Cybersäkerhetsföretaget CrowdStrike har, enligt TechCrunch, sagt att man ser en ökning av nordkoreanska arbetare som tar sig in i företag som distansutvecklare och ingenjörer. Lönerna slussas tillbaka till Pyongyang och amerikanska tjänstemän hävdar att pengarna bidrar till att finansiera ett kärnvapenprogram som omfattas av internationella sanktioner.

Detta är inte bara en berättelse om datorbrott, utan också om arbetsmarknaden. Distansarbete och global upphandling har skapat en legitim marknad för gränsöverskridande rekrytering. Nordkorea utnyttjar den marknaden genom att sälja en förfalskad version av ”förtroende” i industriell skala – stulna identiteter, trovärdiga profiler på yrkesnätverk och ett hårdvaruavtryck som ser amerikanskt ut.

Den förutsägbara västerländska reaktionen blir ”regelefterlevnad”, vilket ofta betyder regelefterlevnadsteater: fler identitetskontroller, fler leverantörer av bakgrundsgranskningar, mer pappersarbete för personalavdelningar och – oundvikligen – tryck att bygga ut övervakningen av arbetstagare och apparater. Försäljningen sker under rubriken nationell säkerhet; resultatet blir en trögare och dyrare rekryteringskedja för alla, även vanliga frilansare som inte ingår i ett statligt understött bedrägeriprogram.

Den amerikanska federala polisen beslagtog Upworksell 2024 och styrde om trafiken till servrar under statlig kontroll, uppger TechCrunch. Polska myndigheter grep Didenko, som utlämnades till USA och erkände sig skyldig.

Den obekväma verkligheten är att centraliserade företagsmiljöer för informations­teknik och standardiserade rutiner för introduktion av nyanställda gör sådana här bedrägerier skalbara. När alla företag använder samma mönster för distansrekrytering behöver en fientlig stat bara industrialisera förfalskningen en gång.

Om västerländska företag svarar med att enbart ”samla in mer uppgifter om sökande” kommer de i huvudsak att ha byggt en mer övervakningspräglad arbetsmarknad som ändå kan luras av den mest målmedvetna motståndaren. En robustare ansats vore att begränsa skadeverkningarna: uppdelad åtkomst, behörigheter enligt minsta nödvändiga princip och system byggda utifrån antagandet att inloggningsuppgifter och identiteter förr eller senare komprometteras. Det är mindre glamoröst än nya blanketter, men det är skillnaden mellan säkerhet och ritual.