BTC 99361.9$
ETH 1963.14$
Tether (USDT) 1$
Toncoin (TON) 3.12$
telegram vk
telegram vk Х
Russian English
"

Северокорейский шпион раскрылся на фальшивом собеседовании о приеме на работу

Дата публикации:08.05.2025, 11:37
75
75
Поделись с друзьями!

В течение нескольких месяцев проводилось расследование, связанное с предполагаемым северокорейским оперативником, которое выявило группу злоумышленников, пытавшихся заработать на фрилансе в индустрии криптовалют.

Расследованием руководил Хайнер Гарсия, эксперт по анализу киберугроз в Telefónica и специалист по безопасности блокчейна. Гарсия выяснил, как северокорейские оперативники обеспечивали безопасность внештатной работы в Интернете даже без использования VPN.

Анализ Гарсии связал заявителя с сетью аккаунтов на GitHub и поддельными японскими документами, которые, как полагают, были связаны с северокорейскими операциями. В феврале Гарсия пригласил принять участие в фиктивном собеседовании предполагаемого агента Корейской Народно-Демократической Республики (DPRK), который называл себя Motoki.

В конечном счете, Motoki случайно раскрыл ссылки на группу северокорейских злоумышленников, после чего в ярости прервал связь.

Вот что произошло.

Предполагаемый северокорейский криптовалютный шпион выдавал себя за японского разработчика

В конце января Хайнер Гарсия впервые столкнулся с Motoki на GitHub, когда исследовал группу, связанную с предполагаемым злоумышленником из DPRK, известным как «bestselection18». Широко распространено мнение, что этой учетной записью управляет опытный IT-специалист из DPRK. Он был частью более широкой группы подозреваемых агентов, которые проникли в криптовалютную индустрию через такие фриланс-платформы, как OnlyDust.

Большинство государственных деятелей Северной Кореи не используют фотографии с человеческим лицом в своих аккаунтах, поэтому профиль Motoki, в котором они были, привлек внимание Гарсии. 

«Я сразу перешел к делу и просто написал ему в Telegram, - рассказал Хайнер Гарсия, объясняя, как он создал свое альтер-эго в качестве менеджера по подбору персонала для компании, которая ищет таланты. - Это было довольно просто. Я даже не сообщал название компании».

24 февраля Гарсия пригласил Motoki принять участие в интервью для его фальшивой компании - в надежде побеседовать с предполагаемым агентом DPRK по-корейски к концу разговора.

«Мы были заинтригованы; если бы нам удалось встретиться с оперативником, у нас была бы возможность узнать, насколько эффективна эта тактика и как ей можно противостоять», - говорит Гарсия.

25 февраля Гарсия встретился с Motoki: 

«Мы отключили веб-камеры, но Motoki этого не сделал. Во время собеседования, которое проводилось на английском языке, Motoki часто повторял одни и те же ответы на разные вопросы, превращая собеседование при приеме на работу в неловкий и высокопарный разговор.

Motoki демонстрировал сомнительное поведение, несовместимое с поведением законного японского разработчика. Во-первых, он не говорил на японском языке.

Мы попросили Motoki представиться по-японски. Свет, падавший на его лицо, свидетельствовал о том, что он лихорадочно просматривал вкладки и окна в поисках текста, который помог бы ему ответить.

Последовало долгое напряженное молчание.

Джико секай о онегаисимасу, - повторился запрос, на этот раз на японском.

Motoki нахмурился, снял наушники и вышел из интервью».

Рисунок 1. Motoki почувствовал, что что-то не так, за несколько мгновений до того, как ушел с собеседования.

По сравнению с bestselection18, Motoki был неаккуратным. Он раскрыл ключевые детали, поделившись своим скриншотом в интервью. Гарсия предположил, что Motoki, скорее всего, оперативник более низкого уровня, который работает с bestselection18.

Motoki провел два телефонных разговора с Гарсией. В ходе двух звонков его скриншот показал доступ к частным репозиториям GitHub с bestselection18 для того, что Гарсия называет несуществующим мошенническим проектом.

Рисунок 2.

«Вот как мы связали всю операцию и весь кластер в целом… Он поделился своим экраном и рассказал, что работает с bestselection18 в частном репозитории», - сказал Гарсия.

Лингвистические подсказки указали на северокорейское происхождение

В исследовании, проведенном в 2018 году, исследователи отметили, что корейские мужчины, как правило, имеют более широкие и рельефные черты лица, чем их восточноазиатские соседи, в то время как у японских мужчин, как правило, более длинные и узкие лица. Несмотря на широкие обобщения, в данном случае внешность Motoki больше соответствовала корейскому профилю, который был описан в исследовании.

«Хорошо, позвольте мне представиться. Итак, я опытный инженер в области блокчейна и искусственного интеллекта, специализирующийся на разработке инноваций и эффективных продуктов», - сказал Motoki во время интервью. Его глаза бегали слева направо, как будто он читал сценарий.

Рисунок 3. Удостоверение личности, предоставленное Гарсии для Motoki при приеме на работу. Источник: Ketman.

Английское произношение Motoki давало больше подсказок. Он часто произносил слова, начинающиеся на «r», как «l», что часто встречается у носителей корейского языка. Носители японского языка также сталкиваются с этим различием, но, как правило, сливают два звука в нейтральный звукосочетание.

Во время личных вопросов он казался более расслабленным. Motoki сказал, что родился и вырос в Японии. У него не было жены и детей, и он утверждал, что свободно говорит на родном языке. «Я люблю футбол», - улыбнулся он, произнося это с сильным звуком «р» - еще один признак, более типичный для английского с корейским акцентом.

Motoki раскрыл еще одну северокорейскую тактику

Примерно через неделю после интервью Гарсия попытался продолжить этот фарс. Он написал Motoki и заявил, что босс уволил его из-за сомнительного интервью.

Это привело к трехнедельному обмену личными сообщениями с Motoki. Гарсия продолжал подыгрывать, притворяясь, что Motoki - японский разработчик.

Позже Гарсия попросил Motoki помочь ему найти работу. В ответ Motoki предложил сделку, которая позволила получить дополнительное представление о некоторых методах работы Северной Кореи.

«Они сказали, что вышлют мне деньги на покупку компьютера, чтобы они могли работать через мой компьютер», - сказал Гарсия.

Соглашение позволило бы оператору удаленно получать доступ к компьютеру из другого места и выполнять задачи без необходимости подключения к VPN, что может вызвать проблемы на популярных платформах для фриланса.

Рисунок 4. Motoki пытается получить доступ к компьютеру в США через удаленный рабочий стол. Источник: Ketman.

16 апреля, на платформе расследований с открытым исходным кодом Ketman, Гарсия и его напарник опубликовали свои выводы о группе подозреваемых агентов DPRK, которые связаны с bestselection18.

Несколько дней спустя было получено сообщение от Гарсии:

«Парень, с которым мы беседовали, пропал. Все его социальные сети изменились. Все чаты и все, что его окружало, было удалено».

С тех пор о Motoki ничего не было слышно.

Подозреваемые в связях с DPRK стали постоянной проблемой для рекрутеров в различных технологических отраслях. Даже крупные криптовалютные биржи подвергаются нападениям. 2 мая Kraken сообщила, что обнаружила северокорейского кибершпиона, который пытался устроиться на работу на американскую платформу для торговли криптовалютами.

Согласно отчету Совета Безопасности ООН, северокорейские IT-работники зарабатывают для режима до 600 миллионов долларов в год. Эти шпионы могут получать стабильную заработную плату в Северной Корее. ООН считает, что эти средства помогают финансировать северокорейскую программу вооружений, которая, как предполагается, по состоянию на январь 2024 года будет включать более 50 ядерных боеголовок.

Подписывайся на наш Telegram канал. Не трать время на мониторинг новостей. Только срочные и важные новости

https://t.me/block_chain24