Sızıntı, Kuzey Koreli BT Dolandırıcılarının Günlük Yaşamlarını Ortaya Çıkardı
İş arama cehennemin ta kendisi. Açık pozisyonları ayıklamak, özgeçmişleri düzenlemek, anlaşılması güç işe alımcılarla uğraşmak saatlerce zaman alıyor—ve tüm bunlar olası mülakatlara başlamadan önce. Tartışmasız bir şekilde, dünyanın en üretken iş başvuranlarından—veya en azından en azimlilerinden—bazıları Kuzey Kore'nin geniş çaplı BT çalışanları düzenlemelerine ait. Kim Jong Un'un baskıcı rejimi yıllardır, uzaktan çalışma görevleriyle yurt dışına gönderilen yetenekli kodlayıcılar aracılığıyla ağır yaptırımlara ve izolasyona maruz kalan ülkeye para göndermeyi başardı. Birleşmiş Milletler tahminlerine göre her yıl binlerce BT çalışanı 250 milyon ila 600 milyon dolar arasında para kazandırıyor.
Şimdi, bir siber güvenlik araştırmacısı tarafından elde edilen görünürde büyük bir veri hazinesi, iddia edilen Kuzey Koreli BT çalışanlarından oluşan bir grubun operasyonlarını ve para kazanma planlamasındaki titizliği nasıl yürüttüğüne yeni bir ışık tutuyor. ABD hükümeti, dolandırıcı BT çalışanlarının kazandığı paranın Kuzey Kore'nin kitle imha silahları geliştirme çabalarına ve balistik füze programlarına katkıda bulunduğunu söyledi. İddia edilen Kuzey Koreli dolandırıcılara ait olduğu söylenen Google, Github ve Slack hesaplarından gelen e-postalar, elektronik tablolar, belgeler ve sohbet mesajları, potansiyel işleri nasıl takip ettiklerini, devam eden başvurularını nasıl kaydettiklerini ve kazançlarını titiz bir detaycılıkla nasıl kaydettiklerini gösteriyor.
Kuzey Kore'nin bazı BT çalışanlarının günlük yaşamına bir bakış sunan veri hazinesi, ayrıca iş başvuruları için kullanılabilecek sahte kimlikleri, örnek özgeçmişleri, dizüstü bilgisayar çiftliklerinin ayrıntılarını ve çevrimiçi hesaplar oluşturmak için kullanılan kılavuzları içeriyor. Bu durum, KDC'nin Google, Slack ve GitHub gibi ABD merkezli teknoloji hizmetlerine ne kadar bağımlı olduğunu vurguluyor.
Gizlilik ve güvenlik endişeleri nedeniyle adının açıklanmasını istemeyen ve SttyK takma adını kullanan güvenlik araştırmacısı, "Bence bu, iç [operasyonlarını], nasıl çalıştıklarını görmenin ilk kez yaşanması" diyor. Bugün Las Vegas'taki Black Hat güvenlik konferansında bulgularını sunan SttyK, isimsiz bir gizli kaynağın kendisine çevrimiçi hesaplardan veri sağladığını söylüyor. Konferanstan önce WIRED'a sunumunu gösteren SttyK, "Onlarca gigabayt veri var. Binlerce e-posta var" diyor.
Kuzey Kore'nin BT çalışanları son yıllarda büyük Fortune 500 şirketlerine, bir dizi teknoloji ve kripto firmasına ve sayısız küçük işletmeye sızdı. Tüm BT çalışanı ekipleri aynı yaklaşımları kullanmasa da, genellikle iş bulmak için sahte veya çalıntı kimlikler kullanırlar ve dijital izlerini gizlemelerine yardımcı olan kolaylaştırıcılardan da yararlanırlar. BT çalışanları genellikle Rusya veya Çin'de bulunurlar ve temel insan haklarından yoksun milyonlarca Kuzey Koreliden daha fazla özgürlük ve imkana sahiplerdir—havuz partilerinin tadını çıkarırken pahalı biftek yemeklerinde görüldüler. Yakın zamanda BBC'ye konuşan ve BT çalışanı olarak çalışan bir Kuzey Koreli firari, haksız kazançlarının %85'inin Kuzey Kore'ye gönderildiğini söyledi. "Yine de Kuzey Kore'deyken olduğumuzdan çok daha iyi" dedi.
SttyK tarafından elde edilen verilerdeki elektronik tabloların birden fazla ekran görüntüsü, her biri yaklaşık bir düzine üyeden oluşan 12 gruba ve genel bir "üst patrona" ayrılmış gibi görünen bir grup BT çalışanı gösteriyor. Elektronik tablolar, işleri ve bütçeleri takip etmek için yöntemsel olarak bir araya getirilmiştir: Her grup için verilere daha ayrıntılı inen özet ve analiz sekmeleri vardır. Satırlar ve sütunlar düzgün bir şekilde doldurulmuştur; düzenli olarak güncelleniyor ve bakımı yapılıyor gibi görünüyor.
Tablolar, BT çalışanları için potansiyel hedef işleri gösteriyor. Görünüşe göre günlük güncellemeleri içeren bir tablo, iş tanımlarını ("yeni bir react ve web3 geliştiricisine ihtiyaç var"), onları yayınlayan şirketleri ve konumlarını listeliyor. Ayrıca boş pozisyonlara freelance web sitelerindeki bağlantıları veya işe alımı yapanların iletişim bilgilerini de içeriyor. Bir "durum" sütunu, "bekleniyor" olup olmadığını veya "iletişim" kurulup kurulmadığını belirtiyor.
WIRED tarafından görülen bir elektronik tablonun ekran görüntüleri, BT çalışanlarının kendilerinin potansiyel gerçek dünyadaki adlarını listeliyor gibi görünüyor. Her ismin yanında, sahip oldukları bilgisayarın marka ve modeli ile monitörler, sabit diskler ve her cihaz için seri numaraları yer alıyor. Adı listelenmemiş olan "üst patron", görünüşe göre 34 inçlik bir monitör ve iki 500 GB sabit disk kullanıyor.
Güvenlik araştırmacısı SttyK tarafından görülen verilerdeki bir "analiz" sayfası, dolandırıcı grubunun dahil olduğu iş türlerinin bir listesini gösteriyor: Yapay zeka, blok zinciri, web kazıma, bot geliştirme, mobil uygulama ve web geliştirme, ticaret, CMS geliştirme, masaüstü uygulama geliştirme ve "diğerleri". Her kategorinin potansiyel bir bütçesi ve "ödenen toplam" alanı vardır. Bir elektronik tablodaki bir düzine grafik, ne kadar ödeme aldıklarını, en karlı bölgeleri ve haftalık, aylık veya sabit toplam olarak ödeme almanın en başarılı olup olmadığını takip ettiğini iddia ediyor.
İç tehdit güvenlik firması DTEX'te çalışan önde gelen Kuzey Koreli hackleme ve tehdit araştırmacısı Michael "Barni" Barnhart, "Profesyonelce yönetiliyor" diyor. "Herkes kotalarını yapmak zorunda. Her şey not edilmeli. Her şey kaydedilmeli" diyor. Araştırmacı, son yıllarda milyarlarca kripto para çalan ve büyük ölçüde BT çalışanı düzenlemelerinden ayrı olan Kuzey Kore'nin gelişmiş hackleme gruplarında benzer kayıt tutma seviyeleri gördüğünü ekliyor. Barnhart, SttyK tarafından elde edilen verileri inceledi ve bunun kendi ve diğer araştırmacıların takip ettiği şeylerle örtüştüğünü söylüyor.
Siber güvenlik şirketi Palo Alto Networks'ün Unit 42 tehdit istihbaratı ekibinde danışman kıdemli yöneticisi olan Evan Gordenker da SttyK tarafından elde edilen verileri gördü ve "Bu verilerin çok gerçek olduğuna inanıyorum" diyor. Gordenker, firmanın verilerdeki birden fazla hesabı takip ettiğini ve önde gelen GitHub hesaplarından birinin daha önce BT çalışanlarının dosyalarını kamuya açık olarak ortaya çıkardığını söylüyor. KDC ile bağlantılı e-posta adreslerinden hiçbiri WIRED'ın yorum taleplerine yanıt vermedi.
WIRED ile iletişime geçtikten sonra GitHub, üç geliştirici hesabını kaldırdı ve şirketin siber güvenlik ve çevrimiçi güvenlik şefi Raj Laud, bunların "spam ve sahtekar etkinlik" kurallarına uygun olarak askıya alındığını söyledi. Laud, "Bu tür devlet destekli tehdit faaliyetlerinin yaygınlığı, sektör çapında bir zorluk ve ciddiye aldığımız karmaşık bir konudur" diyor.
Google, hesap gizliliği ve güvenliğiyle ilgili politikaları gerekçe göstererek WIRED'ın sağladığı belirli hesaplar hakkında yorum yapmayı reddetti. Google'da algılama ve yanıt direktörü Mike Sinno, "Bu operasyonları tespit etmek ve kolluk kuvvetlerine bildirmek için yerinde süreçler ve politikalarımız var" diyor. "Bu süreçler, sahtekar faaliyetlere karşı önlem almak, hedef alınan kuruluşları önceden bilgilendirmek ve bu kampanyalara karşı savunmaları güçlendiren tehdit istihbaratını paylaşmak için kamu ve özel ortaklıklarla çalışmaktır."
Slack'in ana şirketi Salesforce'un kurumsal iletişimden sorumlu kıdemli direktörü Allen Tsai, "Yaptırım uygulanmış kişilerin veya kuruluşların Slack kullanımını yasaklayan sıkı politikalarımız var ve bu kuralları ihlal eden bir faaliyet tespit ettiğimizde hızlı bir şekilde harekete geçiyoruz" diyor. "Kanunla gerekli olduğu şekilde kolluk kuvvetleri ve ilgili makamlarla işbirliği yapıyoruz ve belirli hesaplar veya devam eden soruşturmalar hakkında yorum yapmıyoruz."
Başka bir elektronik tabloda üyelerin, ABD hükümetinin KDC ile bağlantılı BT çalışanları hakkındaki uyarılarında adı geçen Kuzey Kore'nin Kim Chaek Teknoloji Üniversitesi'nin olası bir kısaltması olan "KUT" adlı bir "birim"in parçası olarak listelenmiştir. Elektronik tablodaki bir sütundaki "mülkiyet" sütununda da "Ryonbong" yazıyor, büyük olasılıkla 2005'ten beri ABD tarafından ve 2009'dan beri BM tarafından yaptırımlara tabi tutulan savunma şirketi Kore Ryonbong Genel Şirketi'ni ifade ediyor. ABD Hazine Bakanlığı, Mayıs 2022 tarihli bir raporda, "Çoğunluğu, KDC'nin BM'nin yasakladığı KİS ve balistik füze programlarının yanı sıra gelişmiş konvansiyonel silahlar geliştirme ve ticaret sektörlerinde doğrudan yer alan kuruluşlara bağlı çalışmaktadır" dedi.
Araştırmacıların son yıllarda belirlediği çok sayıda BT çalışanı ile bağlantılı GitHub ve LinkedIn hesabında, özgeçmişlerde ve portföy web sitelerinde genellikle belirgin kalıplar vardır. E-posta adresleri ve hesaplar aynı adları kullanır; özgeçmişler aynı görünebilir. Siber güvenlik firması Nisos'ta Kuzey Koreli BT çalışanı kişilerini takip eden kıdemli bir araştırmacı olan Benjamin Racenberg, "Özgeçmiş içeriğinin yeniden kullanılması da profillerinde sıklıkla gördüğümüz bir şeydir" diyor. Racenberg, dolandırıcıların görüntü manipülasyonu, görüntülü görüşmeler ve kullandıkları komut dosyalarının bir parçası olarak giderek daha fazla yapay zeka kullandığını söylüyor. "Portföy web siteleri için, şablonlar kullandıklarını ve aynı şablonu tekrar tekrar kullandıklarını gördük" diyor Racenberg.
Bunların hepsi, Kim rejiminin suç planlarını yürüürmekle görevlendirilen BT çalışanları için günlük bazı sıkıcı işleri gösteriyor. Unit 42'nin Gordenker'ı, "Çok fazla kopyala yapıştır var" diyor. Gordenker'ın takip ettiği şüpheli bir BT çalışanı, 119 kimlik kullanırken görüldü. "Japon isim üreteçlerini arıyor—tabii ki yanlış yazılmış—ve sonra yaklaşık dört saat içinde sadece isim ve potansiyel yerlerle dolu elektronik tabloları dolduruyor."
Ancak ayrıntılı dokümantasyon başka bir amaca da hizmet ediyor: BT çalışanlarını ve eylemlerini takip etmek. DTEX'in Barnhart'ı, "Para gerçekten liderliğin eline geçtiğinde birçok hareketli parça olur, bu yüzden doğru sayılara ihtiyaçları olacak" diyor. Bazı durumlarda dolandırıcıların makinelerinde çalışan izleme yazılımı görüldü ve araştırmacılar, iş görüşmelerinde Kuzey Korelilerin Kim hakkında sorulara cevap vermediklerini iddia ediyor.
SttyK, Slack kanallarında çalışanların günlük faaliyetlerini gösteren düzinelerce ekran kaydı gördüğünü söylüyor. Bir Slack örneğinin ekran görüntülerinde, "Patron" hesabı şu mesajı gönderiyor: "@kanal: Herkes günde en az 14 saatten fazla çalışmaya çalışmalıdır." Gönderdikleri bir sonraki mesajda şöyle deniyor: "Bildiğiniz gibi bu zaman takibi boşta kalma süresini de içeriyor."
SttyK, "İlginç bir şekilde, iletişimleri tamamen İngilizce, Korece değildi" diyor. Araştırmacı, diğerleriyle birlikte, bunun birkaç nedenden dolayı olabileceğini düşünüyor: birincisi, meşru faaliyetlere karışmak için; ve ikincisi, başvurular ve mülakatlar için İngilizce becerilerini geliştirmeye yardımcı olmak için. SttyK, Google hesap verilerinin, mesajları işlemek için sık sık çevrimiçi çeviri kullandıklarını gösterdiğini söylüyor.
SttyK tarafından elde edilen veriler, BT çalışanlarının performanslarını nasıl takip ettiklerine ilişkin bir bakış açısının ötesinde, dolandırıcıların kendilerinin günlük yaşamları hakkında bazı sınırlı ipuçları veriyor. Bir elektronik tablo, BT çalışanlarının görünüşte planladığı bir voleybol turnuvasını listeliyor; Slack kanallarında doğum günlerini kutladılar ve popüler bir Instagram hesabından ilham verici meme'ler paylaştılar. SttyK, bazı ekran kayıtlarında Counter-Strike oynarken görülebildiklerini söylüyor. SttyK, "Üyeler arasında güçlü bir birlik olduğunu hissettim" diyor.