Hakeri iz Sjeverne Koreje ukrali su identitet žene iz BiH i godinama su radili pod njenim imenom.
Među milijunima naloga na popularnoj platformi za traženje freelance poslova Guru je i nalog Hane iz BiH.
Uz profilnu sliku, sebe opisuje kao višeg softverskog inženjera sa 50 završenih projekata.
Možete me kontaktirati u bilo koje vrijeme. Dostupna sam u europskoj i američkoj vremenskoj zoni, glasi poruka na engleskom jeziku u opisu njenog profila.
Tko zapravo stoji iza Haninog profila?
Međutim, iza njenog profila stoji ozloglašena grupa sjevernokorejskih hakera, poznata po krađi identiteta i njihovom korištenju kako bi sponzorirali svoje aktivnosti, zbog kojih su dospjeli na svjetske liste sankcija.
Balkanska istraživačka regionalna mreža (BIRN) je do e-mail adresa žrtava došla preko izvještaja Multilateralnog tima za praćenje sankcija, u kojem su analizirane aktivnosti hakera iz Sjeverne Koreje. Analizirajući digitalne tragove adresa iz BiH i Srbije, novinari su uspjeli da dođu do žrtava iz tih zemalja i identificiraju naloge koje su pod njihovim imenom napravili hakeri, a koje su koristili da se zaposle u zapadnim firmama.
Multilateralni tim za praćenje sankcija (MSMT) je međunarodno tijelo koje čine Sjedinjene Američke Države, Južna Koreja, Japan, Velika Britanija, Francuska, Njemačka, Italija, Nizozemska, Kanada, Australija i Novi Zeland. Zadatak tog tijela je praćenje i dokumentiranje kako Sjeverna Koreja krši i zaobilazi sankcije Ujedinjenih naroda (UN).
Kako je identitet Hane iz BiH iskorišten za poslove u SAD-u?
E-mail koji je korišten u Haninom slučaju, a koji sadrži dijelove njenog pravog imena i prezimena, omogućio je hakeru da se zaposli u Sjedinjenim Američkim Državama (SAD), navedeno je u izvještaju MSMT-a.
Njen identitet je među 25 koje su, prema izvještaju MSMT-a iz listopada 2025., sjevernokorejski hakeri koristili da se zaposle uglavnom u američkim firmama i zarade, kako se navodi, otprilike 1,5 milijuna dolara u 2022., otprilike milijun dolara u 2023. i otprilike 350.000 dolara u prvoj polovini 2024. godine.
Najviše bih voljela saznati možda zašto baš ja, rekla je Hana, koja je pristala na razgovor pod uvjetom anonimnosti i čiji je pravi identitet poznat redakciji. Za svoj slučaj je saznala od novinara Detektora.
Nikad nisi spreman da čuješ takvu vrstu informacije. Mislim da će mi trebati dosta vremena da mi se slegnu te informacije, bila je jedna od njenih prvih reakcija.
Analizom digitalnih tragova hakera, otkriveno je da je Hanin e-mail korišten za pravljenje naloga na nekoliko platformi za traženje posla popularnih među freelancerima, od kojih najmanje jedan nosi Hanino ime, prezime i fotografiju, a koje ona nije napravila.
Iza ovih naloga koji nose Hanino ime stoji An Chol Hun – sjevernokorejski haker zaposlen u Korejskoj korporaciji za računarsku tehnologiju Mangyongdae (KMCTC), navedeno je u izvještaju MSMT-a.
Tko stoji iza mreže lažnih freelance profila?
U pitanju je IT korporacija sa sjedištem u kineskim gradovima Dandong, na samoj granici sa Sjevernom Korejom i Shenyang, u unutrašnjosti Kine.
Prema izvještaju, matična organizacija te korporacije je Ured za upravljanje 607, koji spada pod Ministarstvo atomske energije i industrije Sjeverne Koreje. Ta institucija se nalazi pod najstrožim međunarodnim sankcijama, jer direktno upravlja nuklearnim programom i razvojem atomskog oružja u toj zemlji.
Prema priopćenju američkog Ministarstva financija iz studenog 2025. godine, a koji se poziva i na izvještaj MSMT-a, upravo su IT radnici firme KMCTC koristili kineske državljane kao bankarske posrednike kako bi prikrili porijeklo sredstava ostvarenih putem ilegalnih shema za generiranje prihoda IT radnika Sjeverne Koreje.
IT radnik An Chol Hun je, pored Haninog, upravljao s još tri lažna identiteta – dva iz SAD-a i jednim iz Argentine.
Kako su hakeri koristili stare e-mail adrese i fotografije?
U slučaju Hane, upotrijebljena je njena stara e-mail adresa, koju godinama nije koristila.
Sad mi ta e-mail adresa nije relevantna svakako ni za što što koristim i nisam je koristila godinama, objasnila je Hana.
Analizom digitalnih tragova utvrđeno je da se toj e-mail adresi pristupalo i u svibnju 2026. godine, kao i da je iskorištena za pravljenje naloga na platformama Guru i Upwork, preko kojih freelanceri pronalaze poslove.
Na Guru nalogu, otvorenom pod njenim imenom i uz prateću njenu fotografiju, navodi se niz IT vještina, kao što su poznavanje programskih jezika Python i Javascript, kao i cjenovnik od 30 dolara po satu rada. Kao Hanina lokacija navedeno je Sarajevo, iako ona ne živi u tom gradu.
Fotografija koja je korištena slabijeg je kvaliteta.
Profilna slika koja mi je korištena je jako, jako stara, toliko stara da sam, ono, zaboravila skroz da je imam. Nešto baš preko deset godina staro, tako da mi je i to bilo čudno, što baš taj izbor slike, rekla je.
Hanin profil na platformi Guru obrisan je tijekom istraživanja Detektora.
Zašto su IT stručnjaci s Balkana privlačna meta?
U izradi izvještaja u kojem se navodi Hanin e-mail sudjelovale su i privatne kompanije koje su specijalizirane za cyber sigurnost. Među njima i francuska Sekoia, čiji su stručnjaci Amori Garson i Maksim Arkilijer pratili načine na koje rade sjevernokorejski hakeri.
Ono što im (hakerima) je važno jeste da je taj identitet stvaran, čist i da izgleda europski na papiru, da ne alarmira, jer im je mnogo lakše da se predstavljaju kao neki europski građanin umjesto kao američki identitet, naprimjer, objasnio je Arkilijer za Detektor.
Dodao je i da je za hakere najbolja meta neko tko je mlad, sa ostvarenim profilom u IT oblasti i identitetom na poslovnoj mreži LinkedIn. Velike su šanse, kako je procijenio, da će takva osoba poslati podatke i kopije svojih osobnih dokumenata željenom poslodavcu.
I tako će oni sve prikupiti i izgledat će kao mnogo stvarniji identitet u odnosu na onaj koji bi kreirali uz pomoć vještačke inteligencije, pojasnio je Arkilijer.
Kako se prikriva prisustvo hakera u zapadnim kompanijama?
U velikom broju slučaja, dodao je Arkilijer, hakeri iz Sjeverne Koreje koriste pomagače u ciljanim zemljama, sa zadatkom da prime laptop zapadne kompanije, a koji onda omogućava zaobilaženje provjera, kao što je ona o vremenskoj zoni ili IP adresi, koju nosi svaki računar i koja pruža određene podatke o tome u kojoj državi se on nalazi.
Dakle, na kraju, sjevernokorejski operater se prijavljuje s bilo kojeg mjesta u svijetu, a kompanija vidi samo legitimnu vezu sa svojim zaposlenikom, objasnio je njegov kolega Garson, dodajući da na taj način haker može ostati povezan sa zapadnom firmom mjesecima ili čak i godinama.
Kako je Hana reagirala nakon što je saznala za zloupotrebu identiteta?
Hana je, nakon što je saznala za svoju situaciju, uspjela da pristupi svom starom e-mailu.
Najveći šok mi je bio što nisam pronašla ništa interesantno (…) što mi isto s druge strane govori koliko su oni profesionalni u svom poslu, znaju što rade i vjerojatno, kada su bili razotkriveni, sve je to obrisano, objasnila je.
U izvještaju MSMT-a se objašnjava da su IT radnici KMCTC-a održavali mnogobrojne lažne pseudonime i identitete na platformama za traženje posla i drugim mrežama, te da su s njima često mogli biti zaposleni na više od jednog posla istovremeno.
Gledajući u “svoje” naloge na internetu, Hana osjeća olakšanje.
Mislim da sam mogla mnogo gore proći, ocijenila je.
Dodala je i da misli da je situacija mogla eskalirati na mnogo gore načine.
Mogla sam imati legalnih problema s tim, mogla sam također imati, ne znam, netko bi mogao uzeti novac (…) ili doći do nekog kontakta, možda nekog i mog bližnjeg (…) I kada sam sve to uzela u obzir, onda sam shvatila – okej, nije, nije toliko grozno, ispričala je.
Zašto je Europa postala nova meta sjevernokorejskih IT operacija?
U analizi Google Threat Intelligence Group iz aprila 2025. godine upozorava se da operacije sjevernokorejskih IT radnika nisu više dominantno vezane za američko tržište rada, već se šire s posebnim fokusom na Europu.
Osnovni obrazac, objašnjava se, ostao je isti – osobe povezane sa Sjevernom Korejom predstavljaju se kao legitimni radnici na daljinu, ulaze u kompanije kroz lažne ili kombinirane identitete i na taj način generiraju prihode za sjevernokorejski režim, uz dodatni rizik od špijunaže, krađe podataka i nanošenja štete u poslovanju kompanija.
Europa se u ovom izvještaju pojavljuje kao nova operativna zona i kao prostor kroz koji se gradi šira infrastruktura za prikrivanje identiteta, zapošljavanje i financijske tokove ovih radnika.
Platforme koje su se koristile za njihovo regrutiranje jesu one poput Upworka, Telegrama i Freelancera. Isplate su se vršile preko kriptovaluta, TransferWisea i Payoneera, što ukazuje na pokušaj sakrivanja porijekla i krajnjeg odredišta novca.
Što upozoravaju američki i europski stručnjaci?
Fric, nekadašnji zamjenik pomoćnika državnog sekretara SAD-a za pitanja Istočne Azije i Pacifika koji je u sjedištu Ujedinjenih naroda u Njujorku početkom 2026. godine predstavio izvještaj međunarodne grupe koji je razotkrio aktivnosti Sjeverne Koreje, a u kojem je, između ostalih, i Hanina e-mail adresa, za Detektor je objasnio da su hakeri te zemlje vrlo fleksibilni.
U osnovi, oni traže mjesta gdje, znate, ljudi nisu svjesni opasnosti od prevara u kojima su oni zaista dobri, objasnio je Fric, koji je danas viši suradnik za kinesku politiku u Centru za američki napredak.
Upozorio je i da ova kriminalna aktivnost financira jedan od najviše geostrateški prijetećih programa, odnosno ilegalni program naoružanja Sjeverne Koreje. Kako je objasnio, hakeri za svoje aktivnosti koriste kineske banke i, između ostalog, plaćanja u kriptovalutama, koje je teže pratiti.
Kad god neka država postane malo bolja u zaštiti sebe i svojih internetskih korisnika, upozorio je, hakeri iz Sjeverne Koreje se prebacuju na neko drugo mjesto koje je ranjivo.
Zašto BiH nema dovoljno kapaciteta za cyber zaštitu?
Saša Mrdović, profesor računarskih mreža na Elektrotehničkom fakultetu Univerziteta u Sarajevu, potvrdio je za Detektor da upravo BiH nema dovoljno ljudskih i institucionalnih kapaciteta, kao ni zakonodavni okvir, koji bi omogućili adekvatnu zaštitu.
Nažalost, naši političari imaju puno stvari koje smatraju da su važnije od ovoga, tako da mislim da su svjesni, ali na nekoj listi onoga što moraju da urade vrlo rijetko, objasnio je.
Ono što se njemu čini dobrom metodom jeste upozoriti donosioce odluka da se Hanina situacija može dogoditi i njima.
Jer ako bi se njima dogodilo – mislim, ne želimo nikome da se dogodi – onda bi možda malo drugačije gledali na to. Ali to se zaista može svakome od nas dogoditi što je čovjek izloženiji, a naši političari, kao i svi ostali, jesu izloženi, mogu doći u takvu situaciju, poručio je Mrdović.
Iz Stalne misije Bosne i Hercegovine pri Ujedinjenim narodima, do objave ovog teksta, nisu odgovorili na upit o tome jesu li se ikada interesirali za slučaj u kojem su sjevernokorejski hakeri ukrali identitet bh. građana, kao ni da li su o tome informirali relevantne institucije naše države.
Kako je identitet građanina Srbije korišten u istoj operaciji?
Google Threat Intelligence Group, u dijelu izvještaja koji se odnosi na infrastrukturu i facilitatorsku mrežu u Europi, spominje i Srbiju.
Kako se objašnjava, hakeri iz Sjeverne Koreje su koristili lažirane profile iz Srbije, uključujući biografije u kojima se navode diplome s Beogradskog univerziteta, kao i adrese boravka u Slovačkoj.
Jedan dokument je sadržavao i konkretne smjernice za traženje posla u Srbiji, uključujući preporuku da se tijekom komunikacije koristi vremenska zona u Srbiji.
U izvještaju Multilateralnog tima za praćenje sankcija (MSMT), pored Haninog, navodi se još jedan slučaj krađe identiteta osobe s Balkana.
U pitanju je identitet Marka Zrinjanina, za koga se, uz e-mail adresu koja je korištena, navodi da je iz Srbije.
U izvještaju se navodi da je sjevernokorejski IT radnik Ri Kwang Hun koristio taj identitet za rad s klijentima iz SAD-a i Irske.
Novinari BIRN-a su potvrdili da je Marko Zrinjanin stvarna osoba i stupili u kontakt s njim. On je odbio razgovor uživo, ali je u svom pisanom odgovoru naveo da ne posjeduje e-mail adresu koja se navodi u izvještaju, te da su fotografije na nalozima pod njegovim imenom vjerojatno preuzete s nekog od IT foruma ili stranice gdje je bio registriran, poput HashNode, Spiceworks i slično.
Iako se obje države pridržavaju sankcija UN-a uvedenih Sjevernoj Koreji, za razliku od BiH, Srbija se ne usklađuje sa sankcijama Pjongjangu koje je donijela Europska unija, i time ne narušava odnose sa saveznicama te zemlje, Rusijom i Kinom. Zauzvrat, Sjeverna Koreja ne priznaje nezavisnost Kosova, što je stav i većine građana Srbije.
Analiza digitalnih tragova u slučaju Zrinjanina pokazuje da je e-mail na njegovo ime “marko.zrinjanin.uw@gmail.com” bio aktivan i u svibnju 2026. godine. Kao i u Haninom slučaju, Zrinjaninove fotografije koje su korištene slabijeg su kvaliteta i starije.
Sa e-mail adresom na njegovo ime koju su hakeri koristili povezan je i Microsoft nalog s njegovim imenom. I taj nalog je kreiran u kolovozu 2022. i posljednji put korišten je u travnju 2025. godine.
BIRN je otkrio nekoliko Zrinjaninovih naloga povezanih sa e-mail adresom koju je koristio haker, a za koje je Zrinjanin potvrdio da mu nisu poznati.
Kakvu su ulogu imale lažne kompanije registrirane u SAD-u?
Među njima je nalog na platformi za freelancere Guru, na kojem je kao Zrinjaninova lokacija upisan grad Louisville u SAD-u. Kako se navodi, Zrinjanin je na toj platformi od 2018. godine i od tada je zaradio 43.000 dolara, radeći za ukupno devet firmi.
Slobodno me kontaktirajte kako bismo razgovarali o detaljima vašeg projekta i kako bih vam mogao pomoći u ostvarivanju vaših ciljeva. Vrlo sam fleksibilan u pogledu radnog vremena i mogu se preklapati s vama više od šest sati dnevno, stoji u opisu profila.
Na sličnoj platformi GoLance, na profilu koji nosi ime i fotografiju Zrinjanina, stoji da je aktivan od 2025. godine, te da naplaćuje 35 dolara po satu. Također se navodi i da je, od kada je nalog otvoren, odrađeno 200 sati za neimenovane firme.
Prema izvještaju MSMT-a, u periodu od 2024. godine sjevernokorejski hakeri osnovali su najmanje dvije “školjka” kompanije registrovane u SAD-u. Takva vrsta kompanija postoji samo na papiru, bez imovine i zaposlenih.
Jedna od njih je Guanghe Technology Development LLC, za koju se navodi da su je sjevernokorejski IT radnici stacionirani u Kini koristili za osiguravanje poslovnih ugovora s jednom neimenovanom kompanijom iz Srbije i za primanje uplata preko američke banke.
Prema javno dostupnim registrima, Guanghe Technology Development LLC je registrirana na Floridi, a upisana ovlaštena osoba je Chengze Li.
Među korporativnim dokumentima te firme nalazi se i onaj iz ožujka 2026. godine u kojem američka Kancelarija za kontrolu strane imovine (OFAC) obavještava državno tajništvo Floride da je Guanghe Technology Development LLC registrirao sjevernokorejski IT radnik i da su sve transakcije i poslovi koje vodi ta firma u korist vlade Sjeverne Koreje.
U službenim registrima nema podataka s kojom kompanijom iz Srbije su poslovali.
Posebno tužiteljstvo za visokotehnološki kriminal sa sjedištem u Beogradu odgovorilo je odrečno na pitanje da li im je poznato da su aktivnosti sjevernokorejskih IT radnika uključivale i Srbiju. U toj instituciji su potvrdili da im se građani do sada nisu obraćali u vezi sa tim.
U odgovoru se precizira da žrtve mogu podnijeti kaznene prijave Ministarstvu unutrašnjih poslova ili Posebnom odjeljenju za borbu protiv visokotehnološkog kriminala Višeg javnog tužiteljstva u Beogradu. Također, dodaje se da sve dokaze, uključujući i digitalne, treba sačuvati i dostaviti uz krivičnu prijavu.
Ured za informacijske tehnologije i elektronsku upravu Vlade Srbije nije odgovorila na pitanja BIRN-a na ovu temu.
Što građani mogu uraditi ako posumnjaju na krađu identiteta?
Ja sam mislila da jesam zaštićena, pa mi se opet nešto ovakvo dogodilo, rekla je Hana.
Prema njenim riječima, svatko tko misli da mu se situacija kao njena ne može dogoditi, vara se.
Evo, ja sam saznala da ne možeš nikad biti dovoljno oprezan, da se svašta može dogoditi dok god koristimo internet. To je jednostavno nešto što postoji i može se svakome dogoditi, navela je.
Hana je zahvalna što je saznala za svoj slučaj.
Nadam se da će ova priča podići svijest ljudima o tome što se sve može dogoditi i da čak i mi u Bosni, iako smatramo da smo mi mala, sitna zemlja u ovom svijetu, ono da, da nismo mi radi toga isključeni iz ovakvih priča i da se takva svijest mora podizati kako i za individualce, tako i za vlasti koje, za koje bih voljela isto da urade više po takvom pitanju, poručila je, prenose Nezavisne.
(www.jabuka.tv)
