В течение нескольких месяцев проводилось расследование, связанное с предполагаемым северокорейским оперативником, которое выявило группу злоумышленников, пытавшихся заработать на фрилансе в индустрии криптовалют.
Расследованием руководил Хайнер Гарсия, эксперт по анализу киберугроз в Telefónica и специалист по безопасности блокчейна. Гарсия выяснил, как северокорейские оперативники обеспечивали безопасность внештатной работы в Интернете даже без использования VPN.
Анализ Гарсии связал заявителя с сетью аккаунтов на GitHub и поддельными японскими документами, которые, как полагают, были связаны с северокорейскими операциями. В феврале Гарсия пригласил принять участие в фиктивном собеседовании предполагаемого агента Корейской Народно-Демократической Республики (DPRK), который называл себя Motoki.
В конечном счете, Motoki случайно раскрыл ссылки на группу северокорейских злоумышленников, после чего в ярости прервал связь.
Вот что произошло.
Предполагаемый северокорейский криптовалютный шпион выдавал себя за японского разработчика
В конце января Хайнер Гарсия впервые столкнулся с Motoki на GitHub, когда исследовал группу, связанную с предполагаемым злоумышленником из DPRK, известным как «bestselection18». Широко распространено мнение, что этой учетной записью управляет опытный IT-специалист из DPRK. Он был частью более широкой группы подозреваемых агентов, которые проникли в криптовалютную индустрию через такие фриланс-платформы, как OnlyDust.
Большинство государственных деятелей Северной Кореи не используют фотографии с человеческим лицом в своих аккаунтах, поэтому профиль Motoki, в котором они были, привлек внимание Гарсии.
«Я сразу перешел к делу и просто написал ему в Telegram, - рассказал Хайнер Гарсия, объясняя, как он создал свое альтер-эго в качестве менеджера по подбору персонала для компании, которая ищет таланты. - Это было довольно просто. Я даже не сообщал название компании».
24 февраля Гарсия пригласил Motoki принять участие в интервью для его фальшивой компании - в надежде побеседовать с предполагаемым агентом DPRK по-корейски к концу разговора.
«Мы были заинтригованы; если бы нам удалось встретиться с оперативником, у нас была бы возможность узнать, насколько эффективна эта тактика и как ей можно противостоять», - говорит Гарсия.
25 февраля Гарсия встретился с Motoki:
«Мы отключили веб-камеры, но Motoki этого не сделал. Во время собеседования, которое проводилось на английском языке, Motoki часто повторял одни и те же ответы на разные вопросы, превращая собеседование при приеме на работу в неловкий и высокопарный разговор.
Motoki демонстрировал сомнительное поведение, несовместимое с поведением законного японского разработчика. Во-первых, он не говорил на японском языке.
Мы попросили Motoki представиться по-японски. Свет, падавший на его лицо, свидетельствовал о том, что он лихорадочно просматривал вкладки и окна в поисках текста, который помог бы ему ответить.
Последовало долгое напряженное молчание.
Джико секай о онегаисимасу, - повторился запрос, на этот раз на японском.
Motoki нахмурился, снял наушники и вышел из интервью».
Рисунок 1. Motoki почувствовал, что что-то не так, за несколько мгновений до того, как ушел с собеседования.
По сравнению с bestselection18, Motoki был неаккуратным. Он раскрыл ключевые детали, поделившись своим скриншотом в интервью. Гарсия предположил, что Motoki, скорее всего, оперативник более низкого уровня, который работает с bestselection18.
Motoki провел два телефонных разговора с Гарсией. В ходе двух звонков его скриншот показал доступ к частным репозиториям GitHub с bestselection18 для того, что Гарсия называет несуществующим мошенническим проектом.
Рисунок 2.
«Вот как мы связали всю операцию и весь кластер в целом… Он поделился своим экраном и рассказал, что работает с bestselection18 в частном репозитории», - сказал Гарсия.
Лингвистические подсказки указали на северокорейское происхождение
В исследовании, проведенном в 2018 году, исследователи отметили, что корейские мужчины, как правило, имеют более широкие и рельефные черты лица, чем их восточноазиатские соседи, в то время как у японских мужчин, как правило, более длинные и узкие лица. Несмотря на широкие обобщения, в данном случае внешность Motoki больше соответствовала корейскому профилю, который был описан в исследовании.
«Хорошо, позвольте мне представиться. Итак, я опытный инженер в области блокчейна и искусственного интеллекта, специализирующийся на разработке инноваций и эффективных продуктов», - сказал Motoki во время интервью. Его глаза бегали слева направо, как будто он читал сценарий.
Рисунок 3. Удостоверение личности, предоставленное Гарсии для Motoki при приеме на работу. Источник: Ketman.
Английское произношение Motoki давало больше подсказок. Он часто произносил слова, начинающиеся на «r», как «l», что часто встречается у носителей корейского языка. Носители японского языка также сталкиваются с этим различием, но, как правило, сливают два звука в нейтральный звукосочетание.
Во время личных вопросов он казался более расслабленным. Motoki сказал, что родился и вырос в Японии. У него не было жены и детей, и он утверждал, что свободно говорит на родном языке. «Я люблю футбол», - улыбнулся он, произнося это с сильным звуком «р» - еще один признак, более типичный для английского с корейским акцентом.
Motoki раскрыл еще одну северокорейскую тактику
Примерно через неделю после интервью Гарсия попытался продолжить этот фарс. Он написал Motoki и заявил, что босс уволил его из-за сомнительного интервью.
Это привело к трехнедельному обмену личными сообщениями с Motoki. Гарсия продолжал подыгрывать, притворяясь, что Motoki - японский разработчик.
Позже Гарсия попросил Motoki помочь ему найти работу. В ответ Motoki предложил сделку, которая позволила получить дополнительное представление о некоторых методах работы Северной Кореи.
«Они сказали, что вышлют мне деньги на покупку компьютера, чтобы они могли работать через мой компьютер», - сказал Гарсия.
Соглашение позволило бы оператору удаленно получать доступ к компьютеру из другого места и выполнять задачи без необходимости подключения к VPN, что может вызвать проблемы на популярных платформах для фриланса.
Рисунок 4. Motoki пытается получить доступ к компьютеру в США через удаленный рабочий стол. Источник: Ketman.
16 апреля, на платформе расследований с открытым исходным кодом Ketman, Гарсия и его напарник опубликовали свои выводы о группе подозреваемых агентов DPRK, которые связаны с bestselection18.
Несколько дней спустя было получено сообщение от Гарсии:
«Парень, с которым мы беседовали, пропал. Все его социальные сети изменились. Все чаты и все, что его окружало, было удалено».
С тех пор о Motoki ничего не было слышно.
Подозреваемые в связях с DPRK стали постоянной проблемой для рекрутеров в различных технологических отраслях. Даже крупные криптовалютные биржи подвергаются нападениям. 2 мая Kraken сообщила, что обнаружила северокорейского кибершпиона, который пытался устроиться на работу на американскую платформу для торговли криптовалютами.
Согласно отчету Совета Безопасности ООН, северокорейские IT-работники зарабатывают для режима до 600 миллионов долларов в год. Эти шпионы могут получать стабильную заработную плату в Северной Корее. ООН считает, что эти средства помогают финансировать северокорейскую программу вооружений, которая, как предполагается, по состоянию на январь 2024 года будет включать более 50 ядерных боеголовок.