Perburuan pekerjaan adalah jenis neraka yang segar. Jam -jam sia -sia memilah -milah peran terbuka, mengubah surat pengantar, berurusan dengan perekrut yang tumpul – dan hanya itu sebelum Anda memulai dengan wawancara potensial. Bisa dibilang, beberapa pelamar pekerjaan paling produktif di dunia – atau setidaknya yang paling gigih – adalah orang -orang Skema pekerja TI Korea Utara yang luas. Selama bertahun -tahun, rezim represif Kim Jong Un telah berhasil mengirim coders terampil ke luar negeri di mana mereka ditugaskan untuk menemukan pekerjaan jarak jauh dan mengirim uang kembali ke negara yang sangat disetujui dan terisolasi. Setiap tahun, ribuan pekerja TI membawa antara $ 250 juta dan $ 600 juta, menurut Perkiraan Perserikatan Bangsa -Bangsa.
Sekarang menjadi banyak data baru yang jelas, yang diperoleh oleh seorang peneliti keamanan siber, menjelaskan bagaimana satu kelompok yang diduga pekerja TI Korea Utara telah menjalankan operasinya dan perencanaan cermat yang terlibat dalam skema menghasilkan uang. Uang yang dihasilkan dengan penipuan itu pekerja berkontribusi pada Senjata Korea Utara dari upaya pengembangan pemusnah massal dan program rudal balistik, kata pemerintah AS. Email, spreadsheet, dokumen, dan pesan obrolan dari Google, GitHub, dan akun Slack yang diduga terkait dengan dugaan scammers Korea Utara menunjukkan bagaimana mereka melacak pekerjaan potensial, mencatat aplikasi mereka yang sedang berlangsung, dan merekam pendapatan dengan perhatian yang melelahkan terhadap detail.
Cache data, yang mewakili sekilas kehidupan kerja beberapa pekerja TI Korea Utara, juga konon termasuk ID palsu yang dapat digunakan untuk aplikasi pekerjaan, serta contoh surat pengantar, rincian peternakan laptop, dan manual yang digunakan untuk membuat akun online. Ini memperkuat seberapa bergantung pada layanan teknologi yang berbasis di AS, seperti Google, Slack, dan GitHub, pekerja DPRK.
“Saya pikir ini adalah pertama kalinya melihat internal mereka [operations]bagaimana mereka bekerja, ”kata peneliti keamanan, yang menggunakan pegangan Stroke dan meminta untuk tidak disebutkan namanya karena masalah privasi dan keamanan. Sttyk, yang mempresentasikan temuan mereka di Black Hat Security Conference di Las Vegas hari ini, mengatakan sumber rahasia yang tidak disebutkan namanya memberi mereka data dari akun online. “Ada beberapa lusin data bernilai gigabytes. Ada ribuan email,” kata Styk, yang menunjukkan presentasi mereka sebelum konferensi.
Pekerja TI Korea Utara, dalam beberapa tahun terakhir, menyusup ke perusahaan -perusahaan besar Fortune 500, sejumlah perusahaan teknologi dan crypto, dan banyak usaha kecil. Meskipun tidak semua tim pekerja TI menggunakan pendekatan yang sama, mereka sering menggunakan identitas palsu atau dicuri untuk mendapatkan pekerjaan dan juga digunakan fasilitator yang membantu menutupi trek digital mereka. Pekerja TI sering berbasis di Rusia atau Cina dan diberi lebih banyak kebebasan dan kebebasan – mereka sudah terlihat Menikmati pesta biliar dan makan di luar makan malam steak yang mahal—Dan jutaan orang Korea Utara yang tidak diberikan hak asasi manusia. Seorang pembelot Korea Utara yang beroperasi sebagai Pekerja TI baru -baru ini memberi tahu BBC bahwa 85 persen dari pendapatan yang tidak diduga dikirim ke Korea Utara. “Ini masih jauh lebih baik daripada ketika kami berada di Korea Utara,” kata mereka.
Beberapa tangkapan layar spreadsheet dalam data yang diperoleh Sttyk menunjukkan sekelompok pekerja TI yang tampaknya dibagi menjadi 12 kelompok – masing -masing dengan sekitar selusin anggota – dan keseluruhan “bos utama.” Spreadsheet secara metodologis disatukan untuk melacak pekerjaan dan anggaran: mereka memiliki tab ringkasan dan analisis yang menelusuri ke bawah ke data untuk masing -masing kelompok. Baris dan kolom diisi dengan rapi; Mereka tampaknya diperbarui dan dipelihara secara teratur.
Tabel menunjukkan pekerjaan target potensial untuk pekerja TI. Satu lembar, yang tampaknya mencakup pembaruan harian, mencantumkan deskripsi pekerjaan (“Butuh pengembang React dan Web3 baru”), perusahaan yang mengiklankannya, dan lokasi mereka. Ini juga menautkan ke lowongan di situs web lepas atau detail kontak untuk mereka yang melakukan perekrutan. Satu kolom “status” mengatakan apakah mereka “menunggu” atau jika ada “kontak.”
Tangkapan layar dari satu spreadsheet yang terlihat oleh Wired tampaknya mencantumkan nama-nama dunia nyata yang potensial dari pekerja TI itu sendiri. Di samping setiap nama adalah daftar merek dan model komputer yang diduga, serta monitor, hard drive, dan nomor seri untuk setiap perangkat. “Master Boss,” yang tidak memiliki nama yang terdaftar, tampaknya menggunakan monitor 34 inci dan dua hard drive 500GB.
Satu halaman “analisis” dalam data yang dilihat oleh Sttyk, peneliti keamanan, menunjukkan daftar jenis pekerjaan yang dilibatkan kelompok penipu: AI, blockchain, pengikis web, pengembangan bot, aplikasi seluler dan pengembangan web, perdagangan, pengembangan CMS, pengembangan aplikasi desktop, dan “lainnya”. Setiap kategori memiliki potensi anggaran yang terdaftar dan bidang “total dibayar”. Selusin grafik dalam satu klaim spreadsheet untuk melacak berapa banyak mereka telah dibayar, daerah yang paling menguntungkan untuk menghasilkan uang, dan apakah dibayar setiap minggu, bulanan, atau sebagai jumlah tetap adalah yang paling sukses.
“Ini dijalankan secara profesional,” kata Michael “Barni” Barnhart, seorang terkemuka Peneliti peretasan dan ancaman Korea Utara yang bekerja untuk perusahaan keamanan ancaman orang dalam DTEX. “Setiap orang harus membuat kuota. Semuanya perlu ditandai. Semuanya perlu dicatat,” katanya. Peneliti menambahkan bahwa ia telah melihat tingkat rekor yang serupa dengan Korea Utara canggih grup peretasanyang telah mencuri miliaran cryptocurrency dalam beberapa tahun terakhir, dan sebagian besar terpisah dari skema pekerja TI. Barnhart telah melihat data yang diperoleh Sttyk dan mengatakan itu tumpang tindih dengan apa yang ia dan peneliti lain melacak.
“Saya pikir data ini sangat nyata,” kata Evan Gordenker, seorang manajer senior konsultasi di tim intelijen ancaman unit 42 dari perusahaan cybersecurity Palo Alto Networks, yang juga telah melihat data yang diperoleh Sttyk. Gordenker mengatakan perusahaan telah melacak banyak akun dalam data dan bahwa salah satu akun GitHub terkemuka sebelumnya mengekspos file pekerja TI di depan umum. Tak satu pun dari alamat email yang terkait dengan DPRK menanggapi permintaan komentar Wired.
GitHub menghapus tiga akun pengembang setelah terhubung dengan kabel, dengan Raj Laud, kepala cybersecurity dan keselamatan online perusahaan, mengatakan mereka telah ditangguhkan sejalan dengan aturan “spam dan aktivitas tidak otentik”. “Prevalensi aktivitas ancaman negara-bangsa semacam itu adalah tantangan di seluruh industri dan masalah kompleks yang kami anggap serius,” kata Laud.
Google menolak mengomentari akun tertentu yang disediakan, mengutip kebijakan seputar privasi dan keamanan akun. “Kami memiliki proses dan kebijakan untuk mendeteksi operasi ini dan melaporkannya ke penegakan hukum,” kata Mike Sinno, direktur deteksi dan respons di Google. “Proses -proses ini termasuk mengambil tindakan terhadap aktivitas penipuan, secara proaktif memberi tahu organisasi yang ditargetkan, dan bekerja dengan kemitraan publik dan swasta untuk berbagi intelijen ancaman yang memperkuat pertahanan terhadap kampanye ini.”
“Kami memiliki kebijakan ketat yang melarang penggunaan Slack oleh individu atau entitas yang disetujui, dan kami mengambil tindakan cepat ketika kami mengidentifikasi kegiatan yang melanggar aturan ini,” kata Allen Tsai, direktur senior komunikasi perusahaan di Slack’s Parent Company Salesforce. “Kami bekerja sama dengan penegakan hukum dan otoritas terkait sebagaimana diharuskan oleh hukum dan tidak mengomentari akun tertentu atau investigasi yang sedang berlangsung.”
Spreadsheet lain juga mencantumkan anggota sebagai bagian dari “unit” yang disebut “KUT,” potensi singkatan dari Korea Utara Kim Chaek University of Technologyyang telah dikutip dalam peringatan pemerintah AS tentang pekerja TI yang terkait dengan DPRK. Satu kolom dalam spreadsheet juga mencantumkan “kepemilikan” sebagai “Ryonbong,” kemungkinan merujuk pada perusahaan pertahanan Korea Ryonbong General Corporation, yang telah terjadi disetujui oleh AS sejak 2005 dan A sejak 2009. “Sebagian besar dari mereka [IT workers] berada di bawah dan bekerja atas nama entitas yang terlibat langsung dalam WMD DPRK yang tidak diprakarsai dan program rudal balistik, serta pengembangan senjata konvensional dan sektor perdagangan yang canggih, ”Departemen Keuangan AS AS mengatakan dalam laporan Mei 2022.
Di seberang berbagai pekerja TI yang terkait dengan pekerja Akun GitHub dan LinkedIn, CVS, dan situs web portofolio yang telah diidentifikasi oleh para peneliti dalam beberapa tahun terakhir, seringkali ada pola yang berbeda. Alamat dan akun email menggunakan nama yang sama; CVS bisa terlihat identik. “Menggunakan kembali konten resume juga merupakan sesuatu yang sering kami lihat di seluruh profil mereka,” kata Benjamin Racenberg, seorang peneliti senior yang telah melacak persona pekerja TI Korea Utara di perusahaan cybersecurity Nisos. Racenberg mengatakan scammers semakin mengadopsi AI untuk manipulasi gambarpanggilan video, dan sebagai bagian dari skrip yang mereka gunakan. “Untuk situs web portofolio, kami telah melihatnya menggunakan templat dan menggunakan templat yang sama berulang kali,” kata Racenberg.
Itu semua menunjuk ke pekerjaan sehari-hari bagi para pekerja TI yang bertugas menjalankan skema kriminal untuk rezim Kim. “Ini banyak salinan dan tempel,” kata Gordenker Unit 42. Salah satu yang dicurigai pekerja TI Gordenker telah dilacak terlihat menggunakan 119 identitas. “Dia googles generator nama Jepang – tentu saja salah – dan kemudian selama sekitar empat jam, hanya mengisi spreadsheet yang hanya penuh dengan nama dan tempat potensial [to target]. “
Namun, dokumentasi terperinci juga melayani tujuan lain: melacak pekerja TI dan tindakan mereka. “Ada banyak bagian yang bergerak begitu uang masuk ke tangan kepemimpinan yang sebenarnya, jadi mereka akan membutuhkan angka yang akurat,” kata Barnhart DTEX. Perangkat lunak pemantauan karyawan telah terlihat di mesin scammers Dalam beberapa kasus dan peneliti mengklaim wawancara kerja Korea Utara Tidak akan menjawab pertanyaan tentang Kim.
Sttyk mengatakan mereka melihat lusinan rekaman layar di saluran Slack yang menunjukkan aktivitas sehari -hari pekerja. Dalam tangkapan layar dari instance Slack, akun “bos” mengirim pesan: “@channel: Semua orang harus mencoba bekerja lebih dari setidaknya 14 jam sehari.” Pesan berikutnya yang mereka kirim mengatakan: “Lagu kali ini termasuk waktu pemalasan, seperti yang Anda tahu.”
“Menariknya, komunikasi mereka adalah bahasa Inggris, bukan bahasa Korea,” kata Styk. Peneliti, bersama dengan yang lain, berspekulasi ini mungkin karena beberapa alasan: pertama, untuk berbaur dengan aktivitas yang sah; dan kedua, untuk membantu meningkatkan keterampilan bahasa Inggris mereka untuk aplikasi dan wawancara. Data akun Google, kata Sttyk, menunjukkan bahwa mereka sering menggunakan terjemahan online untuk memproses pesan.
Di luar sekilas cara-cara di mana para pekerja TI melacak kinerja mereka, data yang diperoleh Sttyk memberikan beberapa petunjuk terbatas tentang kehidupan sehari-hari dari scammers individu itu sendiri. Satu spreadsheet mencantumkan turnamen bola voli yang tampaknya telah direncanakan oleh para pekerja TI; Di Slack Channels, mereka merayakan ulang tahun dan berbagi meme inspirasional dari akun Instagram yang populer. Dalam beberapa rekaman layar, kata Sttyk, mereka dapat terlihat bermain Counter-Strike. “Saya merasa ada persatuan yang kuat di antara para anggota,” kata Styk.
