ABD Adalet Bakanlığı (DOJ) Pazartesi günü, Kuzey Kore Bilgi Teknolojisi (BT) işçi planını hedefleyen kapsamlı eylemler duyurdu ve bir bireyin tutuklanmasına ve 29 finansal hesabın, 21 hileli web sitesinin ve yaklaşık 200 bilgisayarın ele geçirilmesine yol açtı.
Koordineli eylem, ABD’de Kuzey Koreli BT işçileri tarafından şirket tarafından sağlanan dizüstü bilgisayarlar aracılığıyla kurban ağlarına uzaktan bağlantı kurmaları için kullanıma sunulan 21 eyalette bilinen veya şüpheli “dizüstü bilgisayar çiftliğinin” araştırmalarını gördü.
DOJ, “Kuzey Koreli aktörlere ABD, Çin, Birleşik Arap Emirlikleri ve Tayvan’daki bireyler yardım etti ve 100’den fazla ABD şirketi ile başarılı bir şekilde istihdam elde etti.” Dedi.
Kuzey Koreli BT işçi planı, Kuzey Kore Demokratik Halk Cumhuriyeti (DPRK) gelir üretim makinesindeki önemli dişlilerden biri haline geldi. Siber güvenlik şirketi DTEX tarafından devlet destekli bir suç sendikası olarak tanımlanan hileli operasyon, çalınan ve hayali kimliklerin bir karışımını kullanarak ABD şirketleriyle uzak BT işçileri olarak istihdam elde eden Kuzey Koreli aktörleri içeriyor.
Bir iş çıkardıktan sonra, BT işçileri düzenli maaş ödemeleri alır ve ihracat kontrollü ABD askeri teknolojisi ve sanal para birimi de dahil olmak üzere tescilli işveren bilgilerine erişim sağlar. Bir olayda, BT işçilerinin isimsiz bir Atlanta merkezli blockchain araştırma ve geliştirme şirketinde iş sağladıkları ve 900.000 dolardan fazla dijital varlık çaldıkları iddia ediliyor.
Kuzey Koreli BT işçileri ciddi bir tehdittir, çünkü sadece “meşru” iş yoluyla Hermit Krallığı için yasadışı gelir elde etmekle kalmaz, aynı zamanda hassas verileri hasat etmek, fonları çalmaya ve hatta verilerini kamuya açıklamamak karşılığında işverenlerini zorlamaktadırlar.
Bölümün Ulusal Güvenlik Bölümü Başsavcısı John A. Eisenberg, “Bu planlar ABD şirketlerinden hedefliyor ve çalıyor ve yaptırımlardan kaçınmak ve silah programları da dahil olmak üzere Kuzey Kore rejiminin yasadışı programlarını finanse etmek için tasarlandı.” Dedi.
Geçen ay DOJ, federal mahkemede kripto para biriminde 7.74 milyon doların üzerinde, figürü olmayan jetonlar (NFT) ve küresel BT işçisi şemasına bağlı diğer dijital varlıkları hedefleyen bir sivil kaybetme şikayeti sunduğunu söyledi.
FBI Karşı İstihbarat Bölümü müdür yardımcısı Roman Rozhavsky, “Kuzey Kore, ABD şirketlerini dolandırarak ve Amerikan kimlik hırsızlığı kurbanlarından yararlanarak silah programlarını finanse etmeye niyetli.” Dedi. “ABD vatandaşları olarak poz veren Kuzey Koreli BT işçileri, Kuzey Kore’nin otoriter rejimine yüz milyonlarca dolar huni yapabilmeleri için Amerikan işletmeleriyle hileli bir şekilde istihdam elde ettiler.”
Pazartesi günü açıklanan eylemler arasında şef, ortak komplocularla gizli çalıştırma konusunda çok yıllı bir sahtekarlık planı yürütmekle suçlanan ABD Ulusal Zhenxing “Danny” Wang’ın tutuklanmasını da içeriyor.
Programa katılan diğer bireyler arasında altı Çinli ve iki Tayvanlı vatandaşı –
- Jing bin Huang
- Baoyu Zhou (Zhou Baoyu)
- Tong Yuze
- Yongzhe Xu (徐勇哲 ve يونجزي أكسو)
- Ziyou yuan (زيو)
- Zhenbang Zhou (Zhou Zhenbang)
- Menging Liu (Liu Menging) ve
- Enchia Liu (Liu en)
İddianameye göre, sanıklar ve diğer ortak komplocular, 2021 ve Ekim 2024 arasında 100’den fazla ABD şirketinde uzak işler elde etmek için 80’den fazla ABD’li bireyin kimliklerini tehlikeye attılar. Yurtdışı ortak komplocular ve BT çalışanları ve planı tartışıyor.
Şirketleri, uzak işçilerin ABD’de bulunduğunu düşünmek için kandırmak için Wang ve arkadaşları, şirket tarafından konutlarında şirket tarafından verilen dizüstü bilgisayarları aldılar ve ağırladılar ve Kuzey Kore tehdit aktörlerinin bu cihazlara bağlanmasını sağladı. KVM (“Klavye-Video-Fare” için kısaltılır) PIKVM veya Tinypilot gibi anahtarlar.
Doj, “Kejia Wang ve Zhenxing Wang, Hopana Tech LLC, Tony WKJ LLC ve Independent Lab LLC dahil olmak üzere ilgili web siteleri ve finansal hesaplarla kabuk şirketleri de yarattı. “Kejia Wang ve Zhenxing Wang, bu ve diğer finansal hesapları mağdur ABD şirketlerinden para almak için kurdular, bunların çoğu daha sonra denizaşırı eş -montajcılara aktarıldı.”
Bu hizmetleri sağlama karşılığında, Wang ve eş-komplocularının BT işçilerinden 696.000 dolardan az almadıkları tahmin edilmektedir.
Ayrı olarak, Gürcistan’ın kuzey bölgesi, dört Kuzey Koreli vatandaşlık, Kim Kgg Tae Bok (정봉주), Jong Pong Ju (정봉주), Jong Tae Bok (정봉주), Jong Tae Bok (강태복), Chang Nam Il (창남일) ‘ı, Blockchain şirketinden 900.000 $’ dan daha fazla durdurarak, Atlanta’da bulunan Blockchain şirketinden daha fazla durdurdu.
Mahkeme belgeleri, sanıkların Ekim 2019’da Kuzey Kore belgelerinde Birleşik Arap Emirlikleri’ne gittiklerini ve ekip olarak birlikte çalıştıklarını iddia ediyor. Aralık 2020 ile Mayıs 2021 arasında, Kim Kwang Jin ve Jong Pong Ju, Blockchain Company ve Sırp sanal jeton şirketi tarafından geliştiriciler olarak işe alındı. Daha sonra, Sırp şirketi Chang Nam Il’i işe aldı.
Kim Kwang Jin ve Jong Pong Ju, işverenlerinin güvenini kazandıktan ve firmanın sanal para varlıklarına erişmelerini sağlayan projeler atandıktan sonra, tehdit aktörleri Şubat ve Mart 2022’de varlıkları, şirketin akıllı sözleşmelerinden ikisiyle ilişkili kaynak kodunu değiştirmeye devam ettiler.
Çalınan gelirler daha sonra bir kripto para mikseri kullanılarak yıkandı ve sonunda Kang Tae Bok ve Chang Nam IL tarafından kontrol edilen sanal döviz hesaplarına aktarıldı. DOJ, bu hesapların hileli Malezya kimlik belgeleri kullanılarak açıldığını söyledi.
Hacker News’e yaptığı açıklamada, “Bu tutuklamalar, DPRK BT işçilerinin ortaya koyduğu tehditlerin gelir üretiminin ötesine uzandığı güçlü bir hatırlatma.” Diyerek şöyle devam etti: “İçeri girdikten sonra, güvenilir ağlardan kötü niyetli etkinlikler yapabilirler, dünya çapında ulusal güvenlik ve şirketler için ciddi riskler oluşturabilirler.”
“ABD hükümetinin eylemleri […] kesinlikle birinci sınıf ve bu tehdidi bozmada kritik bir adımdır. DPRK aktörleri, hükümet ve savunma sanayi üssü gibi hassas sektörlerde gözlemlenen örnekler de dahil olmak üzere, geleneksel işe alım korumalarını aşmak için ön şirketleri ve üçüncü tarafları giderek daha fazla kullanıyor. Kuruluşlar, başvuran portallarının ötesine bakmalı ve Tehdit bizim gibi adapte olduğu için tüm yetenek boru hattında güveni yeniden değerlendirmelidir. “
Microsoft, BT çalışanlarına bağlı 3.000 e -posta hesabını askıya alıyor
2020’den beri takma ad Jasper Sleet (daha önce Storm-0287) altındaki BT işçi tehdidini izleyen Microsoft, tehdit aktörleri tarafından oluşturulan 3.000 görünüm/hotmail hesaplarını Kuzey Kore siber operasyonlarını bozma çabalarının bir parçası olarak askıya aldığını söyledi. Etkinlik kümesi ayrıca nikel goblen, wagemol ve unc5267 olarak izlenir.
İşçi sahtekarlığı planı, hedef kuruluşlarının coğrafi konumuyla eşleşecek şekilde kimlik kurma ile başlarlar, daha sonra Personas’a meşruiyet kaplama sağlamak için GitHub gibi geliştirici odaklı platformlarda sosyal medya profilleri ve imal edilmiş portföyler aracılığıyla dijital olarak ortaya çıkarlar.
Teknoloji devi, BT işçilerinin iş profillerinin güvenilirliğini artırmak ve işverenler için daha özgün görünmek için görüntüleri geliştirmek ve sesleri değiştirmek için yapay zeka (AI) araçlarını sömürmesini çağırdı. BT çalışanlarının ayrıca LinkedIn’de işe alım görevlileriyle iletişim kurmak ve iş başvurusunda bulunmak için sahte profiller kurdukları bulunmuştur.
Microsoft Tehdit İstihbarat Ekibi, “Bu yüksek vasıflı işçiler çoğunlukla Kuzey Kore, Çin ve Rusya’da bulunuyor ve sanal özel ağlar (VPN’ler) ve uzaktan izleme ve yönetim (RMM) araçları gibi araçları ve kimliklerini gizlemek için suç ortakları ile birlikte kullanıyor.” Dedi.
Jasper sleet tarafından kucaklanan bir başka dikkat çekici taktik, işçilerin istihdamı güvence altına almasına, kimlik kontrollerini geçmelerine ve uzaktan çalışmasına yardımcı olmak için uzaktan iş ortaklıkları kisvesi altında kolaylaştırıcı iş reklamları yayınlama etrafında dönüyor. Kolaylaştırıcılarla ilişki büyüdükçe, BT işçileri için bir banka hesabı oluşturmak veya cep telefonu numaraları veya SIM kartlar satın almakla da görevlendirilebilir.
Ayrıca, zekâlı suç ortakları, çevrimiçi arka plan kontrolü servis sağlayıcılarını kullanarak istihdam doğrulama süreci sırasında BT çalışanlarının sahte kimliklerini doğrulamaktan sorumludur. Gönderilen belgeler arasında sahte veya çalıntı sürücü lisansları, sosyal güvenlik kartları, pasaportlar ve daimi yerleşik kimlik kartları bulunmaktadır.
Tehdite karşı koymanın bir yolu olarak Microsoft, takip eden eylemler için bilinen DPRK Tradecraft ile uyumlu davranışlar sergileyen şüpheli hesapları ortaya çıkarabilen tescilli tehdit zekası tarafından desteklenen özel bir makine öğrenme çözümü geliştirdiğini söyledi.
Redmond, “Kuzey Kore’nin hileli uzaktan işçi planı o zamandan beri gelişti ve kendisini Kuzey Koreli uzak işçilerin çeşitli endüstrilerde teknoloji ile ilgili rollere sızmasına izin veren iyi gelişmiş bir operasyon olarak kurdu.” Dedi. Diyerek şöyle devam etti: “Bazı durumlarda, mağdur kuruluşlar uzak BT işçilerinin en yetenekli çalışanlarından bazıları olduğunu bile bildirdi.”