Kuzey Koreli BT işçileri çabalarını ABD’nin ötesine genişletiyorlar ve dünyanın dört bir yanındaki kuruluşlarla, özellikle de Avrupa’da hileli bir şekilde istihdam edinmeye çalışıyorlar.
Google’ın tehdit araştırmacılarına göre, keşfedildiklerinde ve/veya kovulduktan sonra bu şirketlerden daha fazla para vermeye çalışıyorlar.
Araştırmacılar, “Daha önce, istihdam yerlerinden feshedilen işçiler, şirket tarafından işe alınabilmeleri için diğer kişileri için referanslar sağlamaya çalışabilirler. İşçilerin, işe alınma girişimlerini engelleyecek gerçek kimliklerinin keşfedilmesi nedeniyle feshedildiklerinden şüphelenildikleri için mümkündür.”
“Gasp kampanyalarındaki artış, ABD’nin bozulmalar ve iddianameler de dahil olmak üzere DPRK BT işçilerine karşı artan ABD kolluk eylemleriyle çakıştı. Bu, bu işçiler üzerindeki baskının gelir akışlarını korumak için daha agresif önlemler almaya yönlendirebileceği potansiyel bir bağlantı olduğunu gösteriyor.”
Avrupa hedefleri
Son birkaç yıldır, ABD’de tehdit hakkında farkındalığı artırmak, bu programların ABD merkezli kolaylaştırıcılarını kök salmak ve cezalandırmak, bunlarla uğraşan BT işçilerini adalet sağlamak, bu işçilerin gerçek kökenlerini maskelemelerine yardımcı olan ön şirketleri ortaya çıkarmak için yoğun bir baskı olmuştur.
Tüm olasılıkla, bu, işçileri Avrupa, Asya, Avustralya ve Latin Amerika’daki ekonomik ve teknolojik olarak gelişmiş diğer ülkelerde bulunan hedeflere daha fazla konsantre olmalarını etkiledi.
DPRK BT çalışanları tarafından hedeflenen ülkeler (Kaynak: Google Tehdit İstihbarat Grubu)
Şirket, “Google Tehdit İstihbarat Grubu (GTIG) Avrupa’daki aktif operasyonlarda bir artış tespit etti” dedi.
“2024’ün sonlarında, bir DPRK BT işçisi Avrupa ve Amerika Birleşik Devletleri’nde en az 12 kişi işletti. BT çalışanı, Avrupa’da, özellikle de savunma sanayi üssü ve devlet sektörlerindeki birçok kuruluşla aktif olarak istihdam aradı.”
Başka bir durumda, Kuzey Koreli teknoloji çalışanları, Almanya ve Portekiz’de çalışmak için Avrupa iş web sitelerinde ve beşeri sermaye yönetimi platformlarında sahte kişiler kullanılarak tespit edildi.
İngiltere’de, Kuzey Kore bağlantılı işçiler, web siteleri ve web uygulamaları, iş pazarları, içerik yönetim sistemleri, botlar ve blockchain tabanlı teknolojiler geliştirmek için çalışan şirketlere sızdı.
Google araştırmacıları ayrıca, bu çalışanların işçilerin kendi cihazlarını kullanmalarına ve şirket sistemlerine sanal makineler aracılığıyla erişmelerine izin veren kuruluşlar için artan öngörme fark ettiler.
“İzlenebilen kurumsal dizüstü bilgisayarlardan farklı olarak, BYOD politikası kapsamında çalışan kişisel cihazlar, geleneksel güvenlik ve kütük araçlarından yoksun olabilir, faaliyetleri izlemeyi ve potansiyel tehditleri tanımlamayı zorlaştırabilir. Geleneksel güvenlik önlemlerinin bu yokluğu, kurumsal dizüstü taşımacılık adresleri ve uç nokta yazılım envanterlerinden türetilenler gibi tipik kanıtların izlenmeleri anlamına gelir”.
Kullanılan teknikler ve araçlar
Avrupa’daki işleri takmak için Nort Koreli BT işçileri:
- Gerçek ve uydurulmuş kişileri birleştiren farklı milletlerin (İtalyan, Japon, Ukrayna, Vietnamca vb.) Sahte kimliklerini kullanın
- İş işe alımcılarına rahat
- İş referansları sağlamak için sahte kimlikler kullanın
- Hedef kuruluşlar tarafından işe alınmak için Upwork, Telegram ve Freelancer gibi çevrimiçi platformları kullanın
- İş için ödendikleri paranın varış noktasını gizlemek için Transferwise, Payoneer ve benzer ödeme hizmetlerini kullanın.
Bu sahtekarlığı kolaylaştıran bireyler ve varlıklar da Avrupa ve İngiltere’de ortaya çıkarıldı, Kuzey Koreli BT işçilerine hileli kimlik belgeleri edinmelerine, Avrupa iş sitelerinde gezinmelerine, Avrupa merkezli işçileri vb. Daha ikna edici bir şekilde taklit etmesine yardımcı oldu.