Tablolar BT çalışanları için potansiyel hedef işleri göstermektedir. Görünüşe göre günlük güncellemeleri içeren bir sayfa, iş tanımlarını (“Yeni Bir React ve Web3 geliştiricisine ihtiyacınız var”), onları reklam veren şirketleri ve yerlerini listeler. Ayrıca, işe alım yapanlar için serbest web sitelerindeki boş pozisyonlara veya iletişim bilgilerine de bağlanır. Bir “durum” sütunu, “beklediklerini” mi yoksa “iletişim” olup olmadığını söylüyor.
Wired tarafından görülen bir e-tablonun ekran görüntüleri, BT işçilerinin potansiyel gerçek dünya adlarını listeliyor gibi görünüyor. Her adın yanı sıra, sahip oldukları iddia edilen bilgisayarların yapısı ve modelinin yanı sıra her cihaz için monitörler, sabit sürücüler ve seri numaralarının bir kaydı vardır. Bir adı listelenmeyen “Usta Boss”, görünüşe göre 34 inçlik bir monitör ve iki 500GB sabit disk kullanıyor.
Güvenlik araştırmacısı Sttty tarafından görülen verilerdeki bir “analiz” sayfası, dolandırıcıların yer aldığı iş türlerinin bir listesini göstermektedir: AI, blockchain, web kazıma, bot geliştirme, mobil uygulama ve web geliştirme, ticaret, CMS geliştirme, masaüstü uygulama geliştirme ve “diğerleri”. Her kategorinin potansiyel bir bütçe listelenmesi ve “toplam ücretli” bir alanı vardır. Bir elektronik tablodaki bir düzine grafik, ne kadar ödendiğini, para kazanmak için en kazançlı bölgelerin ve haftalık, aylık veya sabit bir miktar olarak ödeme almanın en başarılı olup olmadığını izlediğini iddia ediyor.
İçeriden tehdit güvenlik firması Dtex için çalışan önde gelen Kuzey Koreli hack ve tehdit araştırmacısı Michael “Barni” diyor Michael “Barni” diyor. “Herkes kotalarını yapmak zorunda. Her şeyin not edilmesi gerekiyor. Her şeyin not edilmesi gerekiyor” diyor. Araştırmacı, son yıllarda milyarlarca kripto para biriminde çalan ve BT işçi planları için büyük ölçüde ayrı olan Kuzey Kore’nin sofistike hack gruplarıyla benzer rekor tutma seviyeleri gördüğünü ekliyor. Barnhart, Sttyk tarafından elde edilen verileri görüntüledi ve kendisinin ve diğer araştırmacıların izledikleriyle örtüştüğünü söylüyor.
“Bu verilerin çok gerçek olduğunu düşünüyorum” diyor Siber Güvenlik Şirketi Palo Alto Networks’in birim 42 tehdit istihbarat ekibinde danışmanlık üst düzey yöneticisi Evan Gordenker. Gordenker, firmanın verilerde birden fazla hesap izlediğini ve önde gelen GitHub hesaplarından birinin daha önce BT işçilerinin dosyalarını herkese açık olarak ortaya koyduğunu söyledi. DPRK bağlantılı e-posta adreslerinin hiçbiri WIRED’in yorum taleplerine yanıt vermedi.
Github, Wired’in temas ettikten sonra üç geliştirici hesabını kaldırdı, şirketin siber güvenlik ve çevrimiçi güvenlik başkanı Raj Laud, “spam ve asitensiz faaliyet” kurallarına uygun olarak askıya alındı. Laud, “Bu tür ulus-devlet tehdit faaliyetinin yaygınlığı, endüstri çapında bir zorluk ve ciddiye aldığımız karmaşık bir konudur” diyor.
Google, hesap gizliliği ve güvenlik konusundaki politikalara atıfta bulunarak sağlanan belirli hesaplar hakkında yorum yapmayı reddetti. Google tespit ve yanıt direktörü Mike Sinno, “Bu operasyonları tespit etmek ve bunları kolluk kuvvetlerine bildirmek için süreçlerimiz ve politikalarımız var” diyor. “Bu süreçler, hileli faaliyetlere karşı harekete geçmeyi, proaktif olarak hedeflenen kuruluşları bildirmeyi ve bu kampanyalara karşı savunmaları güçlendiren tehdit zekasını paylaşmak için kamu ve özel ortaklıklarla çalışmayı içerir.”