Lek onthult het dagelijkse leven van Noord-Koreaanse IT-oplichters

Solliciteren is een ware hel. Uren worden verspild met het doornemen van openstaande vacatures, het aanpassen van sollicitatiebrieven, het omgaan met onnozele recruiters – en dat allemaal voordat je begint met potentiële sollicitatiegesprekken. Sommige van 's werelds meest productieve sollicitanten – of in ieder geval de meest volhardende – zijn ongetwijfeld degenen die gebruikmaken van Noord-Korea's uitgebreide IT-werkregelingen . Jarenlang heeft het repressieve regime van Kim Jong-un met succes bekwame programmeurs naar het buitenland gestuurd, waar ze de taak hebben om werk op afstand te vinden en geld terug te sturen naar het zwaar gesanctioneerde en geïsoleerde land. Volgens schattingen van de Verenigde Naties brengen duizenden IT'ers jaarlijks tussen de 250 en 600 miljoen dollar binnen.

Nu werpt een schijnbaar enorme nieuwe schat aan gegevens, verkregen door een cybersecurityonderzoeker, nieuw licht op hoe een groep vermeende Noord-Koreaanse IT-medewerkers haar activiteiten heeft uitgevoerd en op de nauwgezette planning die aan de geldverdienplannen ten grondslag ligt. Het geld dat door oplichters wordt verdiend, draagt bij aan de ontwikkeling van massavernietigingswapens en ballistische-raketprogramma's in Noord-Korea, aldus de Amerikaanse overheid. E-mails, spreadsheets, documenten en chatberichten van Google-, Github- en Slack-accounts die naar verluidt zijn gekoppeld aan de vermeende Noord-Koreaanse oplichters, laten zien hoe ze potentiële vacatures volgen, hun lopende sollicitaties registreren en inkomsten registreren met een nauwgezette aandacht voor detail.

De dataset, die een inkijkje biedt in het dagelijkse leven van Noord-Koreaanse IT'ers, bevat naar verluidt ook valse identiteitsbewijzen die gebruikt kunnen worden voor sollicitaties, evenals voorbeeldbrieven, details van laptopfarms en handleidingen voor het aanmaken van online accounts. Dit onderstreept hoe afhankelijk Noord-Koreaanse werknemers zijn van Amerikaanse technologiediensten zoals Google, Slack en GitHub.

"Ik denk dat dit de eerste keer is dat ik hun interne [operaties] zie, hoe ze te werk gaan", zegt de beveiligingsonderzoeker, die de gebruikersnaam SttyK gebruikt en anoniem wil blijven vanwege privacy- en beveiligingsproblemen. SttyK, die hun bevindingen vandaag presenteert op de Black Hat Security Conference in Las Vegas, zegt dat een anonieme, vertrouwelijke bron hen de gegevens van de online accounts heeft verstrekt. "Het gaat om tientallen gigabytes aan data. Er zijn duizenden e-mails", zegt SttyK, die hun presentatie voorafgaand aan de conferentie aan WIRED liet zien.

Noord-Koreaanse IT-medewerkers hebben de afgelopen jaren grote Fortune 500-bedrijven, een groot aantal tech- en cryptobedrijven en talloze kleine bedrijven geïnfiltreerd. Hoewel niet alle IT-teams dezelfde aanpak hanteren, gebruiken ze vaak valse of gestolen identiteiten om werk te vinden en maken ze ook gebruik van facilitators die hun digitale sporen helpen uitwissen . De IT-medewerkers zijn vaak gevestigd in Rusland of China en krijgen meer vrijheid en vrijheden – ze zijn gezien terwijl ze genoten van poolparty's en dure steakdiners aten – dan miljoenen Noord-Koreanen die geen basisrechten genieten. Een Noord-Koreaanse overloper die als IT-medewerker opereerde, vertelde onlangs aan de BBC dat 85 procent van hun onrechtmatig verkregen inkomsten naar Noord-Korea is gestuurd. "Het is nog steeds veel beter dan toen we in Noord-Korea waren", zeiden ze.

Meerdere screenshots van spreadsheets in de door SttyK verkregen data tonen een cluster van IT-medewerkers die verdeeld lijken te zijn in twaalf groepen – elk met ongeveer twaalf leden – en een algemene 'master boss'. De spreadsheets zijn methodologisch samengesteld om taken en budgetten bij te houden: ze hebben samenvattings- en analysetabbladen die de gegevens voor elke groep verder uitdiepen. Rijen en kolommen zijn overzichtelijk ingevuld; ze lijken regelmatig te worden bijgewerkt en onderhouden.

De tabellen tonen de potentiële doelbanen voor IT'ers. Eén blad, dat schijnbaar dagelijkse updates bevat, bevat functiebeschrijvingen ("nieuwe React- en Web3-ontwikkelaar gezocht"), de bedrijven die deze adverteren en hun locaties. Het blad linkt ook naar de vacatures op freelancewebsites of contactgegevens van degenen die de werving uitvoeren. In een kolom "status" staat of ze "wachten" of dat er "contact" is geweest.

Screenshots van een spreadsheet die WIRED heeft ingezien, lijken de potentiële namen van de IT-medewerkers zelf te bevatten. Naast elke naam staat een register met het merk en model van de computer die ze naar verluidt hebben, evenals monitoren, harde schijven en serienummers van elk apparaat. De "master boss", van wie geen naam vermeld staat, gebruikt blijkbaar een 34-inch monitor en twee harde schijven van 500 GB.

Eén "analysepagina" in de data die SttyK, de beveiligingsonderzoeker, heeft ingezien, toont een lijst met de soorten werk waar de groep fraudeurs zich mee bezighoudt: AI, blockchain, webscraping, botontwikkeling, mobiele app- en webontwikkeling, handel, CMS-ontwikkeling, desktop-appontwikkeling en "overige". Elke categorie heeft een potentieel budget en een veld "totaal betaald". Twaalf grafieken in één spreadsheet beweren bij te houden hoeveel ze betaald hebben gekregen, de meest lucratieve regio's om geld mee te verdienen, en of wekelijks, maandelijks of als een vast bedrag betaald worden het meest succesvol is.

"Het wordt professioneel gerund", zegt Michael "Barni" Barnhart, een vooraanstaande Noord-Koreaanse hacker- en dreigingsonderzoeker die werkt voor DTEX, een bedrijf dat zich bezighoudt met de beveiliging van insider threats. "Iedereen moet zijn quota halen. Alles moet worden genoteerd. Alles moet worden genoteerd", zegt hij. De onderzoeker voegt eraan toe dat hij vergelijkbare niveaus van registratie heeft gezien bij de geavanceerde Noord-Koreaanse hackersgroepen , die de afgelopen jaren miljarden aan cryptovaluta hebben gestolen en grotendeels losstaan van IT-werknemersplannen. Barnhart heeft de door SttyK verkregen gegevens bekeken en zegt dat deze overlappen met wat hij en andere onderzoekers aan het volgen waren.

"Ik denk dat deze gegevens zeer reëel zijn", zegt Evan Gordenker, senior consultant bij het Unit 42-team voor dreigingsinformatie van cybersecuritybedrijf Palo Alto Networks, die de gegevens die SttyK heeft verkregen ook heeft ingezien. Gordenker zegt dat het bedrijf meerdere accounts in de data had gevolgd en dat een van de prominente GitHub-accounts eerder de bestanden van IT-medewerkers openbaar had gemaakt. Geen van de aan Noord-Korea gelinkte e-mailadressen heeft gereageerd op de verzoeken van WIRED om commentaar.

GitHub heeft drie ontwikkelaarsaccounts verwijderd nadat WIRED contact met hen had opgenomen. Raj Laud, hoofd cybersecurity en online veiligheid van het bedrijf, liet weten dat ze zijn geschorst in overeenstemming met de regels voor "spam en niet-authentieke activiteiten". "De prevalentie van dergelijke bedreigingen door natiestaten is een sectorbrede uitdaging en een complex probleem dat we serieus nemen", aldus Laud.

Google weigerde commentaar te geven op specifieke accounts die WIRED had verstrekt, verwijzend naar beleid rond accountprivacy en -beveiliging. "We hebben processen en beleid om deze activiteiten te detecteren en te melden aan de politie", aldus Mike Sinno, directeur detectie en reactie bij Google. "Deze processen omvatten het nemen van maatregelen tegen frauduleuze activiteiten, het proactief informeren van doelwitorganisaties en het samenwerken met publieke en private partners om informatie over dreigingen te delen die de verdediging tegen deze campagnes versterkt."

"We hanteren strikte beleidsregels die het gebruik van Slack door gesanctioneerde personen of entiteiten verbieden, en we nemen snel actie wanneer we activiteiten identificeren die deze regels overtreden", aldus Allen Tsai, senior director corporate communications bij Slacks moederbedrijf Salesforce. "We werken samen met wetshandhavingsinstanties en relevante autoriteiten zoals wettelijk vereist en geven geen commentaar op specifieke accounts of lopende onderzoeken."

Een andere spreadsheet vermeldt ook leden als onderdeel van een "eenheid" genaamd "KUT", een mogelijke afkorting van de Noord-Koreaanse Kim Chaek University of Technology , die is aangehaald in waarschuwingen van de Amerikaanse overheid over aan de DPRK gelinkte IT-medewerkers. Eén kolom in de spreadsheet vermeldt ook "eigendom" als "Ryonbong", waarschijnlijk verwijzend naar defensiebedrijf Korea Ryonbong General Corporation, dat sinds 2005 door de VS en sinds 2009 door de VN is gesanctioneerd. "De overgrote meerderheid van hen [IT-medewerkers] is ondergeschikt aan en werkt namens entiteiten die direct betrokken zijn bij de door de VN verboden massavernietigingswapens en ballistische raketprogramma's van de DPRK, evenals bij de ontwikkeling en handel in geavanceerde conventionele wapens", aldus het Amerikaanse ministerie van Financiën in een rapport van mei 2022 .

In de talloze GitHub- en LinkedIn-accounts, cv's en portfoliowebsites die onderzoekers de afgelopen jaren hebben geïdentificeerd, zijn er vaak duidelijke patronen te zien. E-mailadressen en accounts gebruiken dezelfde namen; cv's kunnen er identiek uitzien. "Het hergebruiken van cv-inhoud is ook iets wat we vaak zien in hun profielen", zegt Benjamin Racenberg, een senior onderzoeker die de persona's van Noord-Koreaanse IT-medewerkers bij cybersecuritybedrijf Nisos in kaart heeft gebracht. Racenberg zegt dat oplichters AI steeds vaker inzetten voor beeldmanipulatie , videogesprekken en als onderdeel van scripts die ze gebruiken. "Voor portfoliowebsites hebben we gezien dat ze sjablonen gebruiken en steeds dezelfde sjabloon gebruiken", zegt Racenberg.

Dat alles wijst op een dagelijkse sleur voor de IT-medewerkers die belast zijn met het runnen van de criminele plannen voor het Kim-regime. "Het is een hoop kopiëren en plakken", zegt Gordenker van Unit 42. Eén verdachte IT-medewerker die Gordenker heeft gevolgd, werd gespot met 119 identiteiten. "Hij googelt Japanse naamgenerators – natuurlijk verkeerd gespeld – en vult dan in ongeveer vier uur tijd spreadsheets in vol met namen en potentiële locaties [om te targeten]."

De gedetailleerde documentatie dient echter ook een ander doel: het volgen van de IT-medewerkers en hun acties. "Er zijn veel bewegingen zodra het geld daadwerkelijk in handen van de leidinggevenden komt, dus ze hebben nauwkeurige cijfers nodig", zegt Barnhart van DTEX. In sommige gevallen is software voor werknemersmonitoring aangetroffen op de machines van de oplichters en onderzoekers beweren dat Noord-Koreanen tijdens sollicitatiegesprekken geen vragen over Kim beantwoorden .

SttyK zegt dat ze tientallen schermopnames in Slack-kanalen zagen die de dagelijkse activiteiten van de werknemers lieten zien. In screenshots van een Slack-instantie stuurt het "Boss"-account een bericht: "@channel: Iedereen zou moeten proberen om meer dan minstens 14 uur per dag te werken." Het volgende bericht dat ze stuurden, luidt: "Deze tijdregistratie omvat ook de tijd dat werknemers niet werken, zoals u weet."

"Interessant genoeg communiceerden ze volledig in het Engels, niet in het Koreaans", zegt SttyK. De onderzoeker vermoedt, samen met anderen, dat dit om een aantal redenen kan zijn: ten eerste om op te gaan in de dagelijkse gang van zaken; en ten tweede om hun Engelse vaardigheden te verbeteren voor sollicitaties en interviews. Uit Google-accountgegevens, zegt SttyK, blijkt dat ze regelmatig online vertalingen gebruikten om berichten te verwerken.

Naast een glimp van de manieren waarop de IT-medewerkers hun prestaties bijhouden, geven de gegevens die SttyK heeft verkregen ook beperkte aanwijzingen over het dagelijks leven van de individuele oplichters zelf. Een spreadsheet vermeldt een volleybaltoernooi dat de IT-medewerkers blijkbaar hadden gepland; in Slack-kanalen vierden ze verjaardagen en deelden ze inspirerende memes van een populair Instagram-account. Op sommige schermopnames, zegt SttyK, zijn ze te zien terwijl ze Counter-Strike spelen. "Ik voelde een sterke saamhorigheid onder de leden", zegt SttyK.