Sjevernokorejski hakeri ukrali identitet žene iz BiH i zaradili desetke tisuća maraka

Sjevernokorejski hakeri ukrali su identitet jedne državljanke Bosne i Hercegovine i koristili ga za otvaranje lažnih profila na platformama za freelance poslove, preko kojih su zarađivali novac radeći za zapadne tvrtke, pokazuje novo istraživanje Detektora.

Riječ je o dijelu globalne sheme u kojoj su, prema nalazima međunarodnog tijela za praćenje sankcija, sjevernokorejski IT radnici u posljednjih nekoliko godina zaradili više od pet milijuna maraka, koristeći ukradene ili lažne identitete osoba iz više zemalja.

Ukraden identitet Sarajke

Među profilima na platformi Guru, popularnoj za traženje freelance poslova, nalazio se i profil Hane iz BiH. Uz njezinu fotografiju, osoba koja je koristila profil predstavljala se kao viši softverski inženjer s 50 završenih projekata.

"Možete me kontaktirati u bilo koje vrijeme. Dostupna sam u europskoj i američkoj vremenskoj zoni", stajalo je u opisu profila na engleskom jeziku.

Međutim, iza tog profila, prema istraživanju Detektora, stajala je skupina sjevernokorejskih hakera poznata po krađi identiteta i korištenju takvih profila za rad u zapadnim kompanijama.

Balkanska istraživačka mreža BIRN došla je do e-mail adresa žrtava preko izvješća Multilateralnog tima za praćenje sankcija, međunarodnog tijela koje prati načine na koje Sjeverna Koreja krši i zaobilazi sankcije Ujedinjenih naroda.

E-mail korišten u Haninu slučaju sadržavao je dijelove njezina stvarnog imena i prezimena, a prema izvješću je omogućio hakeru da se zaposli u Sjedinjenim Američkim Državama.

"Najviše bih voljela saznati možda zašto baš ja", rekla je Hana, koja je za Detektor pristala govoriti pod uvjetom anonimnosti.

Za svoj slučaj saznala je tek kada su je kontaktirali novinari.

"Nikad nisi spreman čuti takvu vrstu informacije. Mislim da će mi trebati dosta vremena da mi se slegnu te informacije", rekla je.

Lažni poslovi i stvarni novac

Prema izvješću Multilateralnog tima za praćenje sankcija iz listopada 2025. godine, Hanin identitet jedan je od 25 koje su sjevernokorejski hakeri koristili kako bi se zaposlili uglavnom u američkim tvrtkama.

Na taj su način, prema izvješću, zaradili oko 1,5 milijuna dolara u 2022. godini, oko milijun dolara u 2023. i približno 350.000 dolara u prvoj polovici 2024. godine.

Detektor je analizom digitalnih tragova utvrdio da je Hanina stara e-mail adresa, koju godinama nije koristila, upotrijebljena za otvaranje naloga na platformama Guru i Upwork.

Na profilu otvorenom pod njezinim imenom i fotografijom navedene su IT vještine, uključujući Python i Javascript, kao i cijena rada od 30 dolara po satu. Kao lokacija je navedeno Sarajevo, iako Hana ne živi u tom gradu.

"Profilna slika koja mi je korištena jako je stara, toliko stara da sam zaboravila da je imam. Nešto baš preko deset godina staro, tako da mi je i to bilo čudno, što baš taj izbor slike", rekla je Hana.

Profil na platformi Guru obrisan je tijekom istraživanja Detektora.

Tragovi vode do Sjeverne Koreje

Prema izvješću, iza naloga povezanih s Haninim identitetom stoji An Chol Hun, sjevernokorejski haker zaposlen u Korejskoj korporaciji za računalnu tehnologiju Mangyongdae, poznatoj kao KMCTC.

Ta je korporacija, prema izvješću, povezana s Uredom za upravljanje 607, koji djeluje u okviru Ministarstva atomske energije i industrije Sjeverne Koreje. Riječ je o instituciji koja je pod najstrožim međunarodnim sankcijama zbog povezanosti s nuklearnim programom i razvojem atomskog oružja.

Američko Ministarstvo financija ranije je priopćilo da su IT radnici KMCTC-a koristili kineske državljane kao bankarske posrednike kako bi prikrili porijeklo novca ostvarenog kroz nezakonite sheme sjevernokorejskih IT radnika.

Stručnjaci francuske tvrtke za kibernetičku sigurnost Sekoia, koji su pratili metode rada sjevernokorejskih hakera, objasnili su da hakerima odgovaraju stvarni identiteti koji izgledaju "čisto" i europski.

"Ono što im je važno jest da je taj identitet stvaran, čist i da izgleda europski na papiru, da ne alarmira", rekao je za Detektor Maxime Arquilliere iz Sekoie.

Njegov kolega Amaury Garcon objasnio je da sjevernokorejski operateri često koriste pomagače u ciljanim zemljama, koji preuzimaju službene laptope zapadnih tvrtki. Na taj način kompanije vide legitimnu vezu sa zaposlenikom, dok stvarni operater može raditi s bilo kojeg mjesta u svijetu.

Operacija se širi na Europu

Google Threat Intelligence Group u analizi iz travnja 2025. godine upozorio je da operacije sjevernokorejskih IT radnika više nisu dominantno vezane za američko tržište rada, nego se šire prema Europi.

Osnovni obrazac ostaje isti: osobe povezane sa Sjevernom Korejom predstavljaju se kao legitimni radnici na daljinu, ulaze u kompanije preko lažnih ili kombiniranih identiteta i na taj način ostvaruju prihode za sjevernokorejski režim.

Uz financijsku štetu, takve operacije nose i rizik od špijunaže, krađe podataka i nanošenja štete poslovanju kompanija.

Platforme koje su korištene za regrutiranje i pronalazak poslova uključuju Upwork, Telegram i Freelancer, dok su isplate obavljane preko kriptovaluta, TransferWisea i Payoneera.

Jonathan Fritz, bivši američki dužnosnik koji je u Ujedinjenim narodima predstavio izvješće međunarodne skupine, rekao je kako sjevernokorejski hakeri traže zemlje u kojima ljudi nisu dovoljno svjesni takvih prijetnji.

"U osnovi, oni traže mjesta gdje ljudi nisu svjesni opasnosti od prevara u kojima su oni zaista dobri", rekao je Fritz.

BiH bez dovoljno zaštite

Profesor računalnih mreža na Elektrotehničkom fakultetu Univerziteta u Sarajevu Saša Mrdović ocijenio je da BiH nema dovoljno ljudskih i institucionalnih kapaciteta, kao ni zakonodavni okvir koji bi omogućio adekvatnu zaštitu od ovakvih prijetnji.

"Nažalost, naši političari imaju puno stvari koje smatraju važnijima od ovoga", rekao je Mrdović za Detektor.

Dodao je kako se slučaj poput Hanina može dogoditi bilo kome, uključujući i donositelje političkih odluka.

Hana kaže kako je mislila da je dovoljno zaštićena, ali da joj se ipak dogodila krađa identiteta.

"Ja sam mislila da jesam zaštićena, pa mi se opet nešto ovakvo dogodilo", rekla je.

Poručila je kako se svatko vara ako misli da se ovakav slučaj njemu ne može dogoditi.

"Evo, ja sam saznala da nikad ne možeš biti dovoljno oprezan, da se svašta može dogoditi dok god koristimo internet. To je jednostavno nešto što postoji i može se svakome dogoditi", rekla je Hana.

Slučaj i u Srbiji

Istraživanje je pokazalo da su sjevernokorejski hakeri koristili i identitet osobe iz Srbije, Marka Zrinjanina.

Prema izvješću, njegov identitet koristio je sjevernokorejski IT radnik Ri Kwang Hun za rad s klijentima iz SAD-a i Irske. Novinari BIRN-a potvrdili su da je Zrinjanin stvarna osoba, no on je naveo da ne posjeduje e-mail adresu navedenu u izvješću.

Na platformi Guru pod njegovim imenom navodi se da je od 2018. godine zarađeno 43.000 dolara radeći za devet tvrtki.

U izvješću se navodi i da su sjevernokorejski hakeri osnovali najmanje dvije "školjka" kompanije u SAD-u, među kojima je Guanghe Technology Development LLC na Floridi, korištena za poslovne ugovore i primanje uplata preko američke banke.

Prema dokumentima američke Kancelarije za kontrolu strane imovine, tu je tvrtku registrirao sjevernokorejski IT radnik, a poslovi su vođeni u korist vlade Sjeverne Koreje.

Hana se nada da će njezin slučaj podići svijest o digitalnoj sigurnosti u BiH.

"Nadam se da će ova priča podići svijest ljudima o tome što se sve može dogoditi i da čak i mi u Bosni, iako smatramo da smo mala zemlja, nismo isključeni iz ovakvih priča", poručila je, prenosi Detektor.