Serbest Çalışan mısınız? Kuzey Kore Casusları Sizi Kullanıyor Olabilir

Kuzey Kore’nin BT operatörleri stratejilerini değiştirerek, uzaktan işler için vekil kimlik sağlamak üzere serbest çalışanları işe alıyor.

Operatörler, Upwork, Freelancer ve GitHub’daki iş arayanlarla iletişime geçtikten sonra sohbetleri Telegram veya Discord’a taşıyor; burada uzaktan erişim yazılımı kurulumunda ve kimlik doğrulamalarını geçmede rehberlik ediyorlar.

Daha önceki vakalarda, Kuzey Koreli çalışanlar . Telefónica’da siber tehdit istihbarat uzmanı ve blok zinciri güvenlik araştırmacısı Heiner García’ya göre, operatörler artık bu engelleri doğrulanmış kullanıcılar aracılığıyla aşarak, bilgisayarlarına uzaktan erişim veren kişilerle çalışıyorlar.

Kimliklerin gerçek sahipleri ödemelerin yalnızca beşte birini alırken, kalan fonlar kripto paralar veya geleneksel banka hesapları yoluyla operatörlere aktarılıyor. Gerçek kimlikler ve yerel internet bağlantılarına dayanarak, operatörler yüksek riskli coğrafyaları ve VPN’leri işaretleyen sistemleri aşabiliyor.

Kuzey Koreli BT çalışanlarının gelişen işe alım taktiğinin iç yüzü

Bu yılın başlarında, García sahte bir kripto şirketi kurdu ve Cointelegraph ile birlikte uzaktan teknoloji işi arayan bir adayla iletişime geçti. Aday kendisini Japon olarak tanıttı, ancak Japonca tanıtım yapması istendiğinde görüşmeyi aniden sonlandırdı.

García özel mesajlarda görüşmeye devam etti. Şüpheli operatör, ona bir bilgisayar satın almasını ve uzaktan erişim sağlamasını istedi.

Bu talep, García’nın daha sonra karşılaşacağı kalıplarla uyumluydu. Şüpheli profillere ait kanıtlar arasında işe alım sunumları, işe alım senaryoları ve “defalarca kullanılan” kimlik belgeleri yer aldı.

İlgili:

García, Cointelegraph’a şunları söyledi:

“AnyDesk veya Chrome Remote Desktop kuruyorlar ve mağdurun makinesinden çalışıyorlar, böylece platform yerel bir IP görüyor.”

Bilgisayarlarını veren kişiler “kurban” diyor. “Farkında değiller. Normal bir taşeronluk anlaşmasına katıldıklarını düşünüyorlar.”

İncelediği sohbet kayıtlarına göre, işe alınanlar “Nasıl para kazanacağız?” gibi temel sorular soruyor ve teknik iş yapmıyorlar. Hesapları doğruluyor, uzaktan erişim yazılımı kuruyor ve cihazı çevrimiçi tutuyorlar; operatörler ise iş başvurusu yapıyor, müşterilerle konuşuyor ve işleri kendi kimlikleri altında teslim ediyor.

Çoğu “kurban” gibi görünse de, bazıları tam olarak ne yaptıklarının farkında.

Ağustos 2024’te ABD Adalet Bakanlığı, çalınan kimlikleri kullanarak Kuzey Koreli BT çalışanlarının ABD merkezli çalışanlar gibi görünmesini sağlayan “dizüstü bilgisayar çiftliği” işlettiği için Nashville’den Matthew Isaac Knoot’u tutukladı.

Daha yakın zamanda Arizona’da, Christina Marie Chapman benzer bir operasyonu yönettiği için 8 yıldan fazla hapis cezasına çarptırıldı; bu operasyon Kuzey Kore’ye 17 milyon dolardan fazla para aktardı.

Kırılganlık üzerine kurulu bir işe alım modeli

En değerli adaylar ABD, Avrupa ve bazı Asya bölgelerinde bulunuyor; doğrulanmış hesaplar yüksek değerli kurumsal işlere erişim sağlıyor ve coğrafi kısıtlamalar daha az oluyor. Ancak García, ekonomik istikrarsızlık yaşayan Ukrayna ve Güneydoğu Asya gibi bölgelerden kişilere ait belgeler de gözlemledi.

“Düşük gelirli insanları hedefliyorlar. Savunmasız insanları hedefliyorlar,” dedi García. “Hatta engelli insanlara ulaşmaya çalıştıklarını gördüm.”

Kuzey Kore, gelir elde etmek ve yurtdışında kurumsal varlık kazanmak için teknoloji ve kripto endüstrilerine yıllardır sızıyor. Birleşmiş Milletler, DPRK’nın BT çalışmaları ve kripto hırsızlıklarının ülkenin füze ve silah programlarını finanse ettiğini iddia ediyor.

İlgili:

García, bu taktiğin sadece kripto ile sınırlı olmadığını söyledi. İncelediği bir vakada, bir DPRK çalışanı çalınmış bir ABD kimliğini kullanarak kendini Illinois’li bir mimar olarak tanıttı ve Upwork’te inşaat projelerine teklif verdi. Müşterisi tamamlanmış taslak işleri aldı.

Kriptoyla ilgili kara para aklama odaklı olmasına rağmen, García’nın araştırması geleneksel finansal kanalların da kötüye kullanıldığını ortaya koydu. Aynı kimlik vekili modeli, yasa dışı aktörlerin banka ödemelerini meşru isimler altında almasına olanak tanıyor.

“Sadece kripto değil,” dedi García. “Mimarlık, tasarım, müşteri desteği, erişebildikleri her şeyi yapıyorlar.”

Platformların gerçek çalışanı tespit etmede neden hâlâ zorlandığı

Kuzey Koreli operatörlerin uzaktan iş pozisyonları alması riskine karşı işe alım ekipleri daha dikkatli hale gelse de, tespit genellikle olağandışı davranışlar kırmızı bayrakları tetikledikten sonra gerçekleşiyor. Bir hesap ele geçirildiğinde, aktörler yeni bir kimliğe geçip çalışmaya devam ediyor.

İncelenen sohbet kayıtlarına göre, bir Upwork profili aşırı faaliyet nedeniyle askıya alındıktan sonra, operatör işe alınan kişiye bir aile üyesinden yeni hesap açmasını istedi.

Bu kimlik değişimi, hem hesap verebilirliği hem de sorumluluk tespitini zorlaştırıyor. Hesapta adı ve evrakları bulunan kişi genellikle aldatılıyor, gerçek işi yapan kişi ise başka bir ülkeden çalışıyor ve serbest çalışma platformları veya müşteriler tarafından doğrudan görülmüyor.

Bu modelin gücü, uyum sistemlerinin gördüğü her şeyin meşru görünmesinde yatıyor. Kimlik gerçek, internet bağlantısı yerel. Kağıt üzerinde çalışan tüm gereksinimleri karşılıyor, ancak klavyenin arkasındaki kişi tamamen farklı biri.

García, en net kırmızı bayrağın uzaktan erişim araçlarının kurulması veya birinin doğrulanmış hesabınızdan “çalışmasına” izin verilmesi talebi olduğunu söyledi. Meşru bir işe alım süreci cihazınızın veya kimliğinizin kontrolünü gerektirmez.

Dergi: