Siber güvenlik araştırma firması Nisos, Japonya ve Amerika Birleşik Devletleri’ndeki şirketlerle istihdam sağlamayı amaçlayan ayrıntılı sahte kişiler yaratmak için GitHub’dan yararlanan şüpheli Kuzey Koreli BT işçileri ağını ortaya çıkardı.
Bu bireyler, uzaktan mühendislik ve tam yığın blockchain geliştirmede pozisyonlar ararken Vietnam, Japon ve Singapur vatandaşları olarak poz vermektedir.
Nihai hedef, balistik füze ve nükleer gelişme de dahil olmak üzere Kuzey Kore’nin silah programlarını finanse etmek için döviz yaratıyor gibi görünüyor.
Operasyon, aktörler, kişileri için inandırıcı arka planlar oluşturmak için yerleşik GitHub hesaplarını yeniden kullanıyor ve inşa ediyorlar.
Bu işçiler istihdam web sitelerinde, serbest platformlarda ve yazılım geliştirme araçlarında bir varlığı sürdürür, ancak özellikle otantik sosyal medya ayak izlerinden yoksundur.
Nisos araştırmacıları, sahte kişilerin en az ikisinin 50’den az çalışanı olan küçük şirketlerde başarılı bir şekilde istihdam elde ettiğini belirledi.
.webp)
Birkaç teknik gösterge bu Kuzey Koreli BT işçilerinin tanımlanmasına yardımcı olur. Genellikle üç özel alanda uzmanlık talep ederler: web ve mobil uygulama geliştirme, çoklu programlama dillerinde yeterlilik ve blockchain teknolojisi bilgisi.
E -posta adresleri genellikle “116” sayısının sık kullanılması ve adreslerinde “dev” kelimesi de dahil olmak üzere kalıpları takip eder. Birden çok hesaptaki bu tutarlı kalıplar, araştırmacıların çeşitli kişileri tek bir koordineli ağa bağlamasını sağladı.
Personas, güvenilirlik oluşturmak için ayrıntılı teknik aldatma teknikleri gösterir.
Github depoları genellikle üretilen katkı geçmişleri gösterir ve araştırmacılar, hesapların daha önce tanımlanmış DPRK’ye bağlı hesaplarla birlikte yazıldığı durumları bulurlar.
Örneğin, bir GitHub hesabı “NickDev0118” in başka bir şüpheli Kuzey Kore hesabı “Anacondadev0120” ile birlikte yazılmış kod taahhüt ettiği bulunmuştur.
.webp)
Odakta bir durum: Huy Diep/Huigia Deep
Raporda detaylandırılan birincil örneklerden biri, Eylül 2023’ten bu yana Japon danışmanlık şirketi TENPCT Inc’de yazılım mühendisi olarak istihdam sağladığı bildirilen “Huy Diep” (ayrıca “Huigia Diep” adını kullanan) kişiliğidir.
Bu kişi, sözde işverenine bağlanan ve teknik kimlik bilgilerini sergileyen ayrıntılı bir kişisel web sitesini sürdürdü.
Müfettişler, kişiliğin sayısız programlama dilinde sekiz yıllık yazılım mühendisliği deneyimi ve yeterlilik olduğunu iddia ettiler.
GitHub katkı geçmişinin teknik bir incelemesi, tanımlanmış diğer DPRK aktörleriyle tutarlı şüpheli kalıplar ortaya koydu.
Rapor, persona tarafından kullanılan dijital manipülasyon kanıtı, bireyin yüzünün profesyonel ortamlarda çalışan kişinin görünümünü oluşturmak için stok fotoğraflarına dijital olarak üst üste bindirildiği birden fazla örnek sunmaktadır.
.webp)
Aynı stok fotoğrafları farklı kafalar yerleştirildi. Bu teknik, potansiyel DPRK’ye bağlı hesapları tanımlamak için teknik bir gösterge sağlayan sahte kişiler ağı boyunca yaygın görünmektedir.
Araştırma, bu faaliyetin sadece izole sahtekarlığı değil, Kuzey Kore’nin BT işçilerini meşru şirketlere yerleştirme ve potansiyel olarak finansal sonuçların ötesinde güvenlik riskleri yaratma sistematik bir çabasını temsil ettiğini göstermektedir.
Şirketlere, özellikle bu kalıplarla eşleşen profilleri olan uzak teknik çalışanları düşünürken işe alım doğrulama süreçlerini geliştirmeleri tavsiye edilir.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free