BTC 108760$
ETH 2545.59$
Tether (USDT) 1$
Toncoin (TON) 2.87$
telegram vk
telegram vk Х
Russian English
"

Северокорейский шпион раскрылся на фальшивом собеседовании о приеме на работу

Дата публикации:08.05.2025, 11:37
1352
1352
Поделись с друзьями!

В течение нескольких месяцев проводилось расследование, связанное с предполагаемым северокорейским оперативником, которое выявило группу злоумышленников, пытавшихся заработать на фрилансе в индустрии криптовалют.

Расследованием руководил Хайнер Гарсия, эксперт по анализу киберугроз в Telefónica и специалист по безопасности блокчейна. Гарсия выяснил, как северокорейские оперативники обеспечивали безопасность внештатной работы в Интернете даже без использования VPN.

Анализ Гарсии связал заявителя с сетью аккаунтов на GitHub и поддельными японскими документами, которые, как полагают, были связаны с северокорейскими операциями. В феврале Гарсия пригласил принять участие в фиктивном собеседовании предполагаемого агента Корейской Народно-Демократической Республики (DPRK), который называл себя Motoki.

В конечном счете, Motoki случайно раскрыл ссылки на группу северокорейских злоумышленников, после чего в ярости прервал связь.

Вот что произошло.

Предполагаемый северокорейский криптовалютный шпион выдавал себя за японского разработчика

В конце января Хайнер Гарсия впервые столкнулся с Motoki на GitHub, когда исследовал группу, связанную с предполагаемым злоумышленником из DPRK, известным как «bestselection18». Широко распространено мнение, что этой учетной записью управляет опытный IT-специалист из DPRK. Он был частью более широкой группы подозреваемых агентов, которые проникли в криптовалютную индустрию через такие фриланс-платформы, как OnlyDust.

Большинство государственных деятелей Северной Кореи не используют фотографии с человеческим лицом в своих аккаунтах, поэтому профиль Motoki, в котором они были, привлек внимание Гарсии. 

«Я сразу перешел к делу и просто написал ему в Telegram, - рассказал Хайнер Гарсия, объясняя, как он создал свое альтер-эго в качестве менеджера по подбору персонала для компании, которая ищет таланты. - Это было довольно просто. Я даже не сообщал название компании».

24 февраля Гарсия пригласил Motoki принять участие в интервью для его фальшивой компании - в надежде побеседовать с предполагаемым агентом DPRK по-корейски к концу разговора.

«Мы были заинтригованы; если бы нам удалось встретиться с оперативником, у нас была бы возможность узнать, насколько эффективна эта тактика и как ей можно противостоять», - говорит Гарсия.

25 февраля Гарсия встретился с Motoki: 

«Мы отключили веб-камеры, но Motoki этого не сделал. Во время собеседования, которое проводилось на английском языке, Motoki часто повторял одни и те же ответы на разные вопросы, превращая собеседование при приеме на работу в неловкий и высокопарный разговор.

Motoki демонстрировал сомнительное поведение, несовместимое с поведением законного японского разработчика. Во-первых, он не говорил на японском языке.

Мы попросили Motoki представиться по-японски. Свет, падавший на его лицо, свидетельствовал о том, что он лихорадочно просматривал вкладки и окна в поисках текста, который помог бы ему ответить.

Последовало долгое напряженное молчание.

Джико секай о онегаисимасу, - повторился запрос, на этот раз на японском.

Motoki нахмурился, снял наушники и вышел из интервью».

Рисунок 1. Motoki почувствовал, что что-то не так, за несколько мгновений до того, как ушел с собеседования.

По сравнению с bestselection18, Motoki был неаккуратным. Он раскрыл ключевые детали, поделившись своим скриншотом в интервью. Гарсия предположил, что Motoki, скорее всего, оперативник более низкого уровня, который работает с bestselection18.

Motoki провел два телефонных разговора с Гарсией. В ходе двух звонков его скриншот показал доступ к частным репозиториям GitHub с bestselection18 для того, что Гарсия называет несуществующим мошенническим проектом.

Рисунок 2.

«Вот как мы связали всю операцию и весь кластер в целом… Он поделился своим экраном и рассказал, что работает с bestselection18 в частном репозитории», - сказал Гарсия.

Лингвистические подсказки указали на северокорейское происхождение

В исследовании, проведенном в 2018 году, исследователи отметили, что корейские мужчины, как правило, имеют более широкие и рельефные черты лица, чем их восточноазиатские соседи, в то время как у японских мужчин, как правило, более длинные и узкие лица. Несмотря на широкие обобщения, в данном случае внешность Motoki больше соответствовала корейскому профилю, который был описан в исследовании.

«Хорошо, позвольте мне представиться. Итак, я опытный инженер в области блокчейна и искусственного интеллекта, специализирующийся на разработке инноваций и эффективных продуктов», - сказал Motoki во время интервью. Его глаза бегали слева направо, как будто он читал сценарий.

Рисунок 3. Удостоверение личности, предоставленное Гарсии для Motoki при приеме на работу. Источник: Ketman.

Английское произношение Motoki давало больше подсказок. Он часто произносил слова, начинающиеся на «r», как «l», что часто встречается у носителей корейского языка. Носители японского языка также сталкиваются с этим различием, но, как правило, сливают два звука в нейтральный звукосочетание.

Во время личных вопросов он казался более расслабленным. Motoki сказал, что родился и вырос в Японии. У него не было жены и детей, и он утверждал, что свободно говорит на родном языке. «Я люблю футбол», - улыбнулся он, произнося это с сильным звуком «р» - еще один признак, более типичный для английского с корейским акцентом.

Motoki раскрыл еще одну северокорейскую тактику

Примерно через неделю после интервью Гарсия попытался продолжить этот фарс. Он написал Motoki и заявил, что босс уволил его из-за сомнительного интервью.

Это привело к трехнедельному обмену личными сообщениями с Motoki. Гарсия продолжал подыгрывать, притворяясь, что Motoki - японский разработчик.

Позже Гарсия попросил Motoki помочь ему найти работу. В ответ Motoki предложил сделку, которая позволила получить дополнительное представление о некоторых методах работы Северной Кореи.

«Они сказали, что вышлют мне деньги на покупку компьютера, чтобы они могли работать через мой компьютер», - сказал Гарсия.

Соглашение позволило бы оператору удаленно получать доступ к компьютеру из другого места и выполнять задачи без необходимости подключения к VPN, что может вызвать проблемы на популярных платформах для фриланса.

Рисунок 4. Motoki пытается получить доступ к компьютеру в США через удаленный рабочий стол. Источник: Ketman.

16 апреля, на платформе расследований с открытым исходным кодом Ketman, Гарсия и его напарник опубликовали свои выводы о группе подозреваемых агентов DPRK, которые связаны с bestselection18.

Несколько дней спустя было получено сообщение от Гарсии:

«Парень, с которым мы беседовали, пропал. Все его социальные сети изменились. Все чаты и все, что его окружало, было удалено».

С тех пор о Motoki ничего не было слышно.

Подозреваемые в связях с DPRK стали постоянной проблемой для рекрутеров в различных технологических отраслях. Даже крупные криптовалютные биржи подвергаются нападениям. 2 мая Kraken сообщила, что обнаружила северокорейского кибершпиона, который пытался устроиться на работу на американскую платформу для торговли криптовалютами.

Согласно отчету Совета Безопасности ООН, северокорейские IT-работники зарабатывают для режима до 600 миллионов долларов в год. Эти шпионы могут получать стабильную заработную плату в Северной Корее. ООН считает, что эти средства помогают финансировать северокорейскую программу вооружений, которая, как предполагается, по состоянию на январь 2024 года будет включать более 50 ядерных боеголовок.