Утечка раскрывает будни северокорейских IT-мошенников

Поиск работы — это новый вид ада. Часы тратятся впустую на просмотр открытых вакансий, правку сопроводительных писем, общение с бестолковыми рекрутерами — и всё это до того, как вы начнёте ходить на потенциальные собеседования. Можно утверждать, что одни из самых активных соискателей работы в мире — или, по крайней мере, самые настойчивые — это те, кто участвует в разветвлённых программах для IT-специалистов Северной Кореи . Годами репрессивный режим Ким Чен Ына успешно отправлял квалифицированных программистов за границу, где им поручали найти удалённую работу и пересылать деньги обратно в страну, находящуюся под жёсткими санкциями и изолированную от мира. По оценкам ООН , ежегодно тысячи IT-специалистов приносят от 250 до 600 миллионов долларов.

Теперь, по всей видимости, огромный новый массив данных, полученный исследователем в области кибербезопасности, проливает свет на то, как группа предполагаемых северокорейских IT-специалистов осуществляла свою деятельность, и на тщательное планирование, лежащее в основе этих схем заработка. Правительство США заявило, что деньги, заработанные мошенниками в сфере IT, идут на финансирование северокорейских программ разработки оружия массового уничтожения и баллистических ракет. Электронные письма, таблицы, документы и сообщения в чатах из аккаунтов Google, Github и Slack, предположительно связанных с предполагаемыми северокорейскими мошенниками, показывают, как они отслеживают потенциальные вакансии, регистрируют текущие заявки и фиксируют доходы с кропотливым вниманием к деталям.

Кэш данных, дающий представление о повседневной жизни некоторых северокорейских IT-специалистов, предположительно также включает поддельные удостоверения личности, которые могут быть использованы для подачи заявлений о приеме на работу, а также примеры сопроводительных писем, информацию о фермах ноутбуков и руководства по созданию онлайн-аккаунтов. Это подтверждает, насколько сильно северокорейские специалисты зависят от американских технологических сервисов, таких как Google, Slack и GitHub.

«Думаю, я впервые вижу, как работают их внутренние [операции]», — говорит исследователь безопасности, работающий под псевдонимом SttyK и пожелавший остаться анонимным из соображений конфиденциальности и безопасности. Компания SttyK, представляющая свои выводы на конференции по безопасности Black Hat в Лас-Вегасе сегодня, утверждает, что данные из онлайн-аккаунтов им предоставил неназванный источник, не раскрывающий своего имени. «Там несколько десятков гигабайт данных. Тысячи электронных писем», — говорит SttyK, который показал свою презентацию журналу WIRED перед конференцией.

В последние годы северокорейские ИТ-работники проникли в крупные компании из списка Fortune 500, множество технологических и криптофирм и бесчисленное множество малых предприятий. Хотя не все команды ИТ-работников используют одни и те же подходы, они часто используют поддельные или украденные удостоверения личности , чтобы получить работу, а также используют посредников, которые помогают замести их цифровые следы . ИТ-работники часто базируются в России или Китае и им предоставляется больше свободы — их видели наслаждающимися вечеринками у бассейна и ужинающими в ресторанах с дорогими стейками, — чем миллионам северокорейцев, которым не предоставлены основные права человека. Один северокорейский перебежчик, работавший ИТ-работником, недавно рассказал BBC, что 85 процентов их незаконно полученных доходов отправлялись в Северную Корею. «Это все равно намного лучше, чем когда мы были в Северной Корее», — сказали они.

На нескольких скриншотах электронных таблиц из данных, полученных SttyK, показан кластер ИТ-специалистов, разделённый на 12 групп, каждая из которых насчитывает около дюжины участников, и главный «главный босс». Таблицы методично составлены для отслеживания задач и бюджетов: в них есть вкладки «Сводка» и «Анализ», позволяющие детально изучить данные по каждой группе. Строки и столбцы аккуратно заполнены; данные, по всей видимости, регулярно обновляются и поддерживаются в рабочем состоянии.

В таблицах показаны потенциальные вакансии для IT-специалистов. На одном листе, который, по-видимому, обновляется ежедневно, перечислены описания вакансий («нужен новый разработчик React и Web3»), компании, предлагающие их, и их местоположение. Там также есть ссылки на вакансии на сайтах фриланса или контактная информация тех, кто занимается подбором. В одном столбце «статус» указано, находятся ли вакансии в режиме ожидания или был ли уже установлен контакт.

Скриншоты одной из таблиц, с которыми ознакомился WIRED, по-видимому, содержат список потенциальных реальных имён IT-специалистов. Рядом с каждым именем указана марка и модель компьютера, который якобы у них есть, а также мониторы, жёсткие диски и серийные номера каждого устройства. «Главный босс», чьё имя не указано, по-видимому, использует 34-дюймовый монитор и два жёстких диска по 500 ГБ.

На одной из страниц «анализа» данных, с которыми ознакомился SttyK, специалист по безопасности, представлен список видов работ, которыми занимается группа мошенников: ИИ, блокчейн, веб-скрапинг, разработка ботов, разработка мобильных приложений и веб-сайтов, трейдинг, разработка CMS, разработка десктопных приложений и «другое». Для каждой категории указан потенциальный бюджет и поле «общая сумма оплаты». Десяток графиков в одной таблице, как утверждается, отслеживают размер полученной оплаты, наиболее прибыльные регионы для заработка и наиболее выгодный вариант оплаты: еженедельный, ежемесячный или фиксированный.

«Всё это профессионально», — говорит Майкл «Барни» Барнхарт, ведущий северокорейский исследователь хакерских атак и угроз , работающий в компании DTEX, занимающейся инсайдерской безопасностью. «Каждый должен выполнять свои квоты. Всё должно быть записано. Всё должно быть отмечено», — говорит он. Исследователь добавляет, что наблюдал схожий уровень ведения учёта у продвинутых хакерских групп Северной Кореи , которые за последние годы похитили миллиарды в криптовалюте и в значительной степени не связаны с мошенническими схемами для IT-специалистов. Барнхарт ознакомился с данными, полученными SttyK, и отметил, что они совпадают с тем, что отслеживал он и другие исследователи.

«Я действительно считаю эти данные вполне реальными», — говорит Эван Горденкер, старший менеджер-консультант отдела анализа угроз Unit 42 компании Palo Alto Networks, специализирующейся на кибербезопасности, который также видел данные, полученные SttyK. Горденкер утверждает, что компания отслеживала несколько учётных записей, содержащихся в этих данных, и что один из известных аккаунтов GitHub ранее публиковал файлы IT-специалистов. Ни один из адресов электронной почты, связанных с КНДР, не ответил на запросы WIRED о комментариях.

GitHub удалил три учётные записи разработчиков после того, как WIRED связался с Раджем Лаудом, руководителем отдела кибербезопасности и онлайн-безопасности компании, который сообщил, что они были заблокированы в соответствии с правилами компании, касающимися «спама и недостоверной деятельности». «Распространённость подобной деятельности, угрожающей государству, — это общеотраслевая проблема и сложная проблема, к которой мы относимся серьёзно», — говорит Лауд.

Компания Google отказалась комментировать конкретные аккаунты, предоставленные WIRED, сославшись на политику конфиденциальности и безопасности аккаунтов. «У нас есть процедуры и политики для выявления подобных операций и информирования о них правоохранительных органов», — говорит Майк Синно, директор по выявлению и реагированию Google. «Эти процедуры включают в себя принятие мер против мошеннической деятельности, заблаговременное уведомление организаций, подвергшихся атакам, и сотрудничество с государственными и частными партнёрствами для обмена информацией об угрозах, что усиливает защиту от подобных кампаний».

«У нас действуют строгие правила, запрещающие использование Slack физическими и юридическими лицами, находящимися под санкциями, и мы оперативно принимаем меры при обнаружении действий, нарушающих эти правила», — говорит Аллен Цай, старший директор по корпоративным коммуникациям Salesforce, материнской компании Slack. «Мы сотрудничаем с правоохранительными органами и соответствующими органами власти в соответствии с требованиями закона и не комментируем конкретные аккаунты или текущие расследования».

Другая электронная таблица также перечисляет членов как часть «подразделения» под названием «KUT», потенциального сокращения северокорейского Технологического университета имени Ким Чхэка , который упоминался в предупреждениях правительства США о связанных с КНДР ИТ-работниках. В одном из столбцов электронной таблицы также указана «владелец» как «Ryonbong», вероятно, имея в виду оборонную компанию Korea Ryonbong General Corporation, которая находится под санкциями США с 2005 года и ООН с 2009 года . «Подавляющее большинство из них [ИТ-работников] подчиняются и работают от имени организаций, непосредственно участвующих в запрещенных ООН программах КНДР по ОМУ и баллистическим ракетам, а также в ее передовых секторах разработки и торговли обычными вооружениями», — говорится в отчете Министерства финансов США за май 2022 года .

Среди множества аккаунтов GitHub и LinkedIn, резюме и сайтов с портфолио, связанных с ИТ-специалистами, которые исследователи выявили в последние годы, часто встречаются четкие закономерности. Адреса электронной почты и аккаунты используют одни и те же имена; резюме могут выглядеть одинаково. «Повторное использование содержимого резюме также часто встречается в их профилях», — говорит Бенджамин Рэйсенберг, старший научный сотрудник, отслеживавший персоны северокорейских ИТ-специалистов в фирме по кибербезопасности Nisos. Рэйсенберг говорит, что мошенники все чаще используют ИИ для манипулирования изображениями , видеозвонков и в качестве части используемых ими скриптов. «Что касается сайтов с портфолио, мы видели, как они используют шаблоны, причем используют один и тот же шаблон снова и снова», — говорит Рэйсенберг.

Всё это указывает на тяжелую повседневную работу IT-специалистов, которым поручено управлять преступными схемами для режима Ким Чен Ына. «Это много копирования и вставки», — говорит Горденкер из Подразделения 42. Один из подозреваемых IT-специалистов, за которым следил Горденкер, был замечен с использованием 119 личных данных. «Он ищет в Google японские имена — конечно, с ошибками в написании — а затем в течение примерно четырёх часов просто заполняет таблицы, полные имён и потенциальных мест [для атаки]».

Однако подробная документация служит и другой цели: отслеживанию действий IT-специалистов. «Когда деньги попадают в руки руководства, происходит множество изменений, поэтому им понадобятся точные цифры», — говорит Барнхарт из DTEX. В некоторых случаях на компьютерах мошенников было обнаружено программное обеспечение для мониторинга сотрудников, и исследователи утверждают, что северокорейцы на собеседованиях не отвечают на вопросы о Киме .

SttyK сообщает, что они видели десятки записей экрана в каналах Slack, демонстрирующих повседневную активность сотрудников. На скриншотах одного из каналов Slack аккаунт «Boss» отправляет сообщение: «@channel: Каждый должен стараться работать больше, чем по крайней мере 14 часов в день». В следующем сообщении говорится: «Этот учёт времени включает время простоя, как вы знаете».

«Интересно, что они общались исключительно на английском, а не на корейском», — говорит SttyK. Исследователь, как и другие, предполагает, что это может быть связано с несколькими причинами: во-первых, желанием вписаться в законную деятельность; во-вторых, желанием улучшить свои знания английского языка для подачи заявлений и прохождения собеседований. Данные учётных записей Google, по словам SttyK, показывают, что они часто использовали онлайн-переводчик для обработки сообщений.

Помимо беглого взгляда на то, как ИТ-специалисты отслеживают свою эффективность, данные, полученные SttyK, дают лишь ограниченное представление о повседневной жизни самих мошенников. В одной из таблиц указан волейбольный турнир, который, по-видимому, запланировали ИТ-специалисты; в каналах Slack они отмечали дни рождения и делились вдохновляющими мемами из популярного аккаунта в Instagram. По словам SttyK, на некоторых записях экрана они играют в Counter-Strike . «Я чувствовал сильное единство среди участников», — говорит SttyK.