Sızıntı, Kuzey Koreli BT Dolandırıcılarının Günlük Yaşamlarını Ortaya Çıkardı

İş arama yeni bir cehennem. Açık pozisyonları incelemek, ön yazıları düzenlemek, küstah işe alım uzmanlarıyla uğraşmak için saatler harcanıyor; üstelik tüm bunlar, potansiyel mülakatlara başlamadan önce gerçekleşiyor. Tartışmasız, dünyanın en üretken iş başvuru sahiplerinden bazıları -ya da en azından en ısrarcıları- Kuzey Kore'nin yaygın BT çalışanı programlarının üyeleri. Kim Jong Un'un baskıcı rejimi, yıllardır yetenekli kodlayıcıları yurt dışına göndererek uzaktan iş bulma ve ağır yaptırımlara tabi ve izole edilmiş ülkeye para gönderme görevini üstlendi. Birleşmiş Milletler tahminlerine göre, her yıl binlerce BT çalışanı 250 milyon ila 600 milyon dolar arasında gelir elde ediyor.

Siber güvenlik araştırmacısı tarafından elde edilen devasa miktardaki yeni veri, Kuzey Koreli olduğu iddia edilen bir BT çalışanı grubunun operasyonlarını nasıl yürüttüğüne ve para kazanma planlarındaki titiz planlamaya ışık tutuyor. ABD hükümeti, dolandırıcı BT çalışanlarının kazandığı paranın Kuzey Kore'nin kitle imha silahları geliştirme çalışmalarına ve balistik füze programlarına katkıda bulunduğunu açıkladı. Google, Github ve Slack hesaplarından gelen ve Kuzey Koreli olduğu iddia edilen dolandırıcılara ait olduğu iddia edilen e-postalar, elektronik tablolar, belgeler ve sohbet mesajları, dolandırıcıların potansiyel işleri nasıl takip ettiklerini, devam eden başvurularını nasıl kaydettiklerini ve kazançlarını nasıl büyük bir titizlikle kaydettiklerini gösteriyor.

Kuzey Kore'deki bazı BT çalışanlarının günlük yaşamlarına dair bir bakış sunan veri önbelleğinin, iş başvurularında kullanılabilecek sahte kimliklerin yanı sıra örnek ön yazılar, dizüstü bilgisayar çiftliklerinin ayrıntıları ve çevrimiçi hesap oluşturmak için kullanılan kılavuzları da içerdiği iddia ediliyor. Bu durum, Kuzey Koreli çalışanların Google, Slack ve GitHub gibi ABD merkezli teknoloji hizmetlerine ne kadar bağımlı olduklarını bir kez daha gözler önüne seriyor.

Gizlilik ve güvenlik endişeleri nedeniyle isminin açıklanmasını istemeyen ve SttyK kullanıcı adını kullanan güvenlik araştırmacısı, "Sanırım bu, onların iç [operasyonlarını], nasıl çalıştıklarını ilk kez görme fırsatım oldu," diyor. Bulgularını bugün Las Vegas'taki Black Hat güvenlik konferansında sunan SttyK, ismi açıklanmayan gizli bir kaynağın çevrimiçi hesaplardaki verileri kendilerine sağladığını söylüyor. Konferans öncesinde WIRED'a sunumunu gösteren SttyK, "Onlarca gigabayt değerinde veri var. Binlerce e-posta var," diyor.

Kuzey Kore'nin BT çalışanları, son yıllarda Fortune 500'deki devasa şirketlere, bir dizi teknoloji ve kripto şirketine ve sayısız küçük işletmeye sızdı. Her ne kadar tüm BT çalışanı ekipleri aynı yaklaşımları kullanmasa da, iş bulmak için sıklıkla sahte veya çalıntı kimlikler kullanıyor ve ayrıca dijital izlerini gizlemelerine yardımcı olan kolaylaştırıcılardan yararlanıyorlar. BT çalışanları genellikle Rusya veya Çin'de bulunuyor ve temel insan haklarından mahrum bırakılan milyonlarca Kuzey Koreliden daha fazla özgürlük ve serbestliğe sahipler; havuz partilerinin tadını çıkarırken veya pahalı biftek yemeklerinde yemek yerken görüldüler. BT çalışanı olarak çalışan bir Kuzey Koreli firari yakın zamanda BBC'ye, haksız kazançlarının yüzde 85'inin Kuzey Kore'ye gönderildiğini söyledi . "Kuzey Kore'deyken olduğundan hala çok daha iyi," dediler.

SttyK tarafından elde edilen verilerdeki elektronik tabloların birden fazla ekran görüntüsü, her biri yaklaşık bir düzine üyeden oluşan 12 gruba ayrılmış gibi görünen bir BT çalışanları kümesini ve genel olarak bir "ana patron"u gösteriyor. Elektronik tablolar, işleri ve bütçeleri takip etmek için metodolojik olarak bir araya getirilmiş: Her grubun verilerini ayrıntılı olarak inceleyen özet ve analiz sekmeleri var. Satır ve sütunlar düzgün bir şekilde doldurulmuş; düzenli olarak güncellenip güncelleniyor gibi görünüyorlar.

Tablolar, BT çalışanları için potansiyel hedef iş ilanlarını gösteriyor. Günlük güncellemeleri de içeren bir sayfada, iş tanımları ("yeni bir React ve Web3 geliştiricisine ihtiyacımız var"), bunları ilan eden şirketler ve konumları listeleniyor. Ayrıca, serbest çalışan web sitelerindeki açık pozisyonlara veya işe alımları yürütenlerin iletişim bilgilerine de bağlantı veriliyor. Bir "durum" sütununda ise "beklemede" olup olmadıkları veya "iletişime geçilip geçilmediği" belirtiliyor.

WIRED tarafından incelenen bir elektronik tablonun ekran görüntüleri, BT çalışanlarının gerçek hayattaki olası isimlerini listeliyor gibi görünüyor. Her ismin yanında, sahip oldukları iddia edilen bilgisayarın marka ve modelinin yanı sıra monitörler, sabit diskler ve her cihazın seri numaralarının da bir kaydı bulunuyor. Adı belirtilmeyen "baş patron"un, görünüşe göre 34 inçlik bir monitör ve iki adet 500 GB sabit disk kullandığı belirtiliyor.

Güvenlik araştırmacısı SttyK tarafından incelenen verilerdeki bir "analiz" sayfası, dolandırıcı grubunun dahil olduğu iş türlerinin bir listesini gösteriyor: Yapay zeka, blok zinciri, web kazıma, bot geliştirme, mobil uygulama ve web geliştirme, ticaret, içerik yönetim sistemi (CMS) geliştirme, masaüstü uygulama geliştirme ve "diğerleri". Her kategorinin potansiyel bir bütçesi ve bir "toplam ödeme" alanı bulunuyor. Tek bir elektronik tabloda yer alan bir düzine grafik, ne kadar ödeme aldıklarını, para kazanmak için en kazançlı bölgeleri ve haftalık, aylık veya sabit bir meblağ olarak ödeme almanın en başarılı olup olmadığını takip ettiğini iddia ediyor.

İçeriden tehdit güvenliği firması DTEX'te çalışan önde gelen Kuzey Koreli bilgisayar korsanlığı ve tehdit araştırmacısı Michael "Barni" Barnhart, "Profesyonelce yönetiliyor," diyor. "Herkesin kotasını doldurması gerekiyor. Her şeyin not edilmesi gerekiyor. Her şeyin not edilmesi gerekiyor," diyor. Araştırmacı, son yıllarda milyarlarca dolar değerinde kripto para çalan ve BT çalışanı planlarından büyük ölçüde ayrı olan Kuzey Kore'nin gelişmiş bilgisayar korsanlığı gruplarında da benzer kayıt tutma seviyeleri gördüğünü ekliyor. Barnhart, SttyK tarafından elde edilen verileri inceledi ve kendisinin ve diğer araştırmacıların takip ettiği verilerle örtüştüğünü söylüyor.

Siber güvenlik şirketi Palo Alto Networks'ün 42. Ünite Tehdit İstihbarat Ekibi'nde kıdemli danışman yönetici olan ve SttyK'nin elde ettiği verileri de gören Evan Gordenker, "Bu verilerin gerçekten gerçek olduğunu düşünüyorum," diyor. Gordenker, şirketin verilerdeki birden fazla hesabı takip ettiğini ve önde gelen GitHub hesaplarından birinin daha önce BT çalışanlarının dosyalarını kamuya açıkladığını belirtiyor. DPRK bağlantılı e-posta adreslerinin hiçbiri, WIRED'ın yorum taleplerine yanıt vermedi.

WIRED'ın iletişime geçmesinin ardından GitHub, üç geliştirici hesabını kaldırdı. Şirketin siber güvenlik ve çevrimiçi güvenlik başkanı Raj Laud, hesapların "spam ve sahte etkinlik" kuralları uyarınca askıya alındığını söyledi. Laud, "Bu tür ulus-devlet tehdit faaliyetlerinin yaygınlığı, sektör genelinde bir zorluk ve ciddiye aldığımız karmaşık bir konudur," diyor.

Google, hesap gizliliği ve güvenliğiyle ilgili politikalarını gerekçe göstererek, WIRED'ın sağladığı belirli hesaplar hakkında yorum yapmayı reddetti. Google'ın tespit ve müdahale direktörü Mike Sinno, "Bu işlemleri tespit etmek ve kolluk kuvvetlerine bildirmek için süreçlerimiz ve politikalarımız mevcut," diyor. "Bu süreçler, dolandırıcılık faaliyetlerine karşı önlem almayı, hedeflenen kuruluşları proaktif olarak bilgilendirmeyi ve bu saldırılara karşı savunmayı güçlendirecek tehdit istihbaratını paylaşmak için kamu ve özel sektör ortaklıklarıyla çalışmayı içeriyor."

Slack'in ana şirketi Salesforce'un kurumsal iletişimden sorumlu kıdemli direktörü Allen Tsai, "Slack'in yaptırıma tabi kişi veya kuruluşlar tarafından kullanılmasını yasaklayan katı politikalarımız var ve bu kuralları ihlal eden bir faaliyet tespit ettiğimizde hızla harekete geçiyoruz," diyor. "Yasaların gerektirdiği şekilde kolluk kuvvetleri ve ilgili makamlarla iş birliği yapıyoruz ve belirli hesaplar veya devam eden soruşturmalar hakkında yorum yapmıyoruz."

Başka bir elektronik tabloda da üyeler , ABD hükümetinin DPRK bağlantılı BT çalışanları hakkındaki uyarılarında adı geçen , Kuzey Kore'nin Kim Chaek Teknoloji Üniversitesi'nin olası kısaltması olan "KUT" adlı bir "birim"in parçası olarak listeleniyor. Elektronik tablodaki bir sütunda ayrıca "sahiplik" olarak "Ryonbong" listeleniyor; bu muhtemelen 2005'ten beri ABD ve 2009'dan beri BM tarafından yaptırım uygulanan savunma şirketi Korea Ryonbong General Corporation'a atıfta bulunuyor. ABD Hazine Bakanlığı, Mayıs 2022 tarihli bir raporda, "Bunların [BT çalışanları] büyük çoğunluğu, DPRK'nın BM tarafından yasaklanmış Kitle İmha Silahları ve balistik füze programlarının yanı sıra gelişmiş konvansiyonel silah geliştirme ve ticaret sektörlerinde doğrudan yer alan kuruluşlara bağlı ve bu kuruluşlar adına çalışıyor" dedi .

Araştırmacıların son yıllarda tespit ettiği sayısız BT çalışanıyla bağlantılı GitHub ve LinkedIn hesabı, özgeçmiş ve portföy web sitesinde genellikle belirgin kalıplar bulunuyor. E-posta adresleri ve hesaplar aynı adları kullanıyor; özgeçmişler aynı görünebiliyor. Siber güvenlik firması Nisos'ta Kuzey Koreli BT çalışanı kişiliklerini takip eden kıdemli araştırmacı Benjamin Racenberg, "Özgeçmiş içeriklerinin tekrar tekrar kullanılması da profillerinde sıklıkla gördüğümüz bir şey," diyor. Racenberg, dolandırıcıların görüntü manipülasyonu, görüntülü görüşmeler ve kullandıkları senaryoların bir parçası olarak giderek daha fazla yapay zeka kullandığını söylüyor. Racenberg, "Portföy web siteleri için şablonlar kullandıklarını ve aynı şablonu tekrar tekrar kullandıklarını gördük," diyor.

Tüm bunlar, Kim rejimi adına suç planlarını yürütmekle görevli BT çalışanlarının günlük işlerinin ne kadar zahmetli olduğunu gösteriyor. 42. Birim'den Gordenker, "Çok fazla kopyala-yapıştır var," diyor. Gordenker'ın takip ettiği şüpheli bir BT çalışanının 119 kimlik kullandığı tespit edildi. "Japonca isim üreteçlerini Google'da arıyor -tabii ki yanlış yazılmış- ve ardından yaklaşık dört saat boyunca, sadece isimler ve hedef alınabilecek potansiyel yerlerle dolu elektronik tablolar dolduruyor."

Ancak ayrıntılı dokümantasyon başka bir amaca daha hizmet ediyor: BT çalışanlarını ve eylemlerini takip etmek. DTEX'ten Barnhart, "Para yönetimin eline geçtiğinde birçok hareketli parça olacak, bu yüzden doğru rakamlara ihtiyaçları olacak," diyor. Bazı durumlarda dolandırıcıların makinelerinde çalışan izleme yazılımları görüldü ve araştırmacılar, iş görüşmelerinde Kuzey Korelilerin Kim hakkındaki soruları yanıtlamadığını iddia ediyor.

SttyK, Slack kanallarında çalışanların günlük aktivitelerini gösteren düzinelerce ekran kaydı gördüklerini söylüyor. Bir Slack örneğinin ekran görüntülerinde, "Patron" hesabı şu mesajı gönderiyor: "@channel: Herkes günde en az 14 saatten fazla çalışmaya çalışmalı." Gönderdikleri bir sonraki mesajda ise şöyle yazıyor: "Bu zaman kaydı, bildiğiniz gibi, boşta geçen zamanı da kapsıyor."

SttyK, "İlginçtir ki, iletişimleri tamamen İngilizceydi, Korece değil," diyor. Araştırmacı ve diğerleri, bunun birkaç nedeni olabileceğini düşünüyor: Birincisi, meşru faaliyetlere uyum sağlamak; ikincisi, başvurular ve mülakatlar için İngilizce becerilerini geliştirmek. SttyK, Google hesap verilerinin, mesajları işlemek için sıklıkla çevrimiçi çeviri kullandıklarını gösterdiğini söylüyor.

BT çalışanlarının performanslarını nasıl takip ettiklerine dair bir bakışın ötesinde, SttyK'nin elde ettiği veriler, dolandırıcıların günlük yaşamları hakkında sınırlı ipuçları veriyor. Bir elektronik tabloda, BT çalışanlarının planladığı bir voleybol turnuvası listeleniyor; Slack kanallarında doğum günlerini kutlamışlar ve popüler bir Instagram hesabından ilham verici paylaşımlar yapmışlar. SttyK, bazı ekran kayıtlarında Counter-Strike oynarken görülebildiğini söylüyor. "Üyeler arasında güçlü bir birlik olduğunu hissettim," diyor SttyK.