افشای جاسوس کره‌شمالی در مصاحبه شغلی رمزارزی تقلبی

جاسوس کره‌شمالی در مصاحبه شغلی تقلبی لو رفت و روابطش را فاش کرد

برای ماه‌ها، Cointelegraph در تحقیقی شرکت کرد که حول یک عامل مظنون کره‌شمالی متمرکز بود و خوشه‌ای از بازیگران تهدیدکننده را کشف کرد که در تلاش برای گرفتن پروژه‌های فریلنسری در صنعت ارز دیجیتال بودند.

این تحقیق توسط هاینر گارسیا، کارشناس اطلاعات تهدیدات سایبری در شرکت Telefónica و پژوهشگر امنیت بلاکچین، رهبری شد. گارسیا کشف کرد که عاملان کره‌شمالی بدون استفاده از VPN چگونه به شکل آنلاین پروژه‌های فریلنسری دریافت می‌کنند.

تحلیل گارسیا متقاضی را به شبکه‌ای از حساب‌های GitHub و هویت‌های جعلی ژاپنی مرتبط کرد که احتمالاً با عملیات کره‌شمالی در ارتباط هستند. در فوریه، گارسیا از Cointelegraph دعوت کرد تا در یک مصاحبه شغلی فرضی شرکت کند که او برای یک عامل مظنون جمهوری دموکراتیک خلق کره (DPRK) ترتیب داده بود. آن فرد خود را «Motoki» معرفی می‌کرد.

در نهایت، Motoki به‌طور تصادفی ارتباطاتش با خوشه‌ای از بازیگران تهدیدکننده کره‌شمالی را فاش کرد و سپس از روی خشم تماس را قطع کرد. در ادامه، جزئیات ماجرا را می‌خوانید.

گارسیا برای اولین بار اواخر ژانویه در حین تحقیق روی حسابی به نام «bestselection18» در GitHub با Motoki آشنا شد. این حساب به‌طور گسترده‌ای باور می‌شود که توسط یک نفوذگر مجرب IT کره‌شمالی اداره می‌شود و جزئی از گروه بزرگ‌تری از عاملان مظنون است که از طریق پلتفرم‌هایی مانند OnlyDust وارد بازار فریلنسینگ حوزه رمزارز شده بودند.

اکثر عاملان دولتی کره‌شمالی در حساب‌های خود عکس واقعی از چهره استفاده نمی‌کنند، بنابراین پروفایل Motoki که شامل یک عکس بود، توجه گارسیا را جلب کرد. گارسیا می‌گوید: «من مستقیم رفتم سر اصل مطلب و در تلگرام به او پیام دادم.» او یک هویت دروغین به‌عنوان یک شکارچی استعداد برای شرکتی که به دنبال استخدام بود، ساخت و به گفتۀ خودش «خیلی راحت بود. حتی اسم شرکت را هم نگفتم.»

در ۲۴ فوریه، گارسیا از خبرنگار کره‌جنوبی Cointelegraph دعوت کرد تا در مصاحبه‌ای برای شرکت ساختگی او شرکت کند و امیدوار بود که در پایان تماس بتواند با عامل مظنون کره‌شمالی به زبان کره‌ای صحبت کند. این فرصت جذاب بود تا ببینیم این تاکتیک‌ها چقدر مؤثرند و چگونه می‌توان با آن‌ها مقابله کرد.

در ۲۵ فوریه، گارسیا و Cointelegraph با Motoki ملاقات کردند. وبکم‌ها را خاموش نگه داشتیم، اما Motoki این کار را نکرد. مصاحبه به زبان انگلیسی برگزار شد و Motoki بارها برای سؤالات مختلف پاسخ‌های یکسان تکرار می‌کرد و مصاحبه را به گفتگویی آزاردهنده و خشک تبدیل می‌کرد. رفتار او با شخصیت یک توسعه‌دهندۀ ژاپنی واقعی همخوانی نداشت؛ برای مثال، او نتوانست به زبان ژاپنی توضیح بدهد.

از او خواستیم که خودش را به زبان ژاپنی معرفی کند. نور صفحه نمایش روی صورتش نشان می‌داد که به‌شدت در حال جست‌وجو در تب‌ها و پنجره‌های مختلف برای پیدا کردن یک اسکریپت است تا به او کمک کند پاسخ دهد. سکوت طولانی و پرتنشی پیش آمد. Motoki اخم کرد، هدستش را پرت کرد و مصاحبه را ترک کرد.

برخلاف bestselection18، Motoki دقت کمی داشت. در مصاحبه با اشتراک صفحه نمایش، جزئیات کلیدی را افشا کرد. گارسیا حدس زد که Motoki احتمالاً یک عامل رده‌پایین است که با bestselection18 همکاری می‌کند. Motoki دو بار با گارسیا تماس گرفت که یکی از آن‌ها همراه با Cointelegraph بود. در هر دو تماس، اشتراک صفحه‌نمایش او نشان داد که به مخازن خصوصی GitHub مرتبط با bestselection18 در پروژه کردن یک کلاهبرداری از کار افتاده دسترسی دارد.

گارسیا می‌گوید: «این‌جوری ما کل عملیات و خوشه را به هم ربط دادیم… او صفحه‌اش را به اشتراک گذاشت و نشان داد که با [bestselection18] در یک مخزن خصوصی کار می‌کند.»

در تحقیق سال ۲۰۱۸، پژوهشگران دریافتند که مردان کره‌ای معمولاً کشیده‌تر و ساختار فک پهن‌تری نسبت به همسایگان شرق آسیایی خود دارند، در حالی که مردان ژاپنی صورت‌های درازتر و باریک‌تری دارند. اگرچه تعمیم‌های کلی هستند، اما ظاهر Motoki بیش‌تر با مشخصات کره‌ای مطابقت داشت.

Motoki در طول مصاحبه گفت: «خب، پس بذار خودم را معرفی کنم. من مهندس مجربی در بلاکچین و هوش مصنوعی هستم و تمرکزم روی توسعه محصولات نوآورانه و تاثیرگذار است.» چشم‌های او مدام از چپ به راست حرکت می‌کرد، انگار که در حال خواندن متن بود.

لحن تلفظ انگلیسی Motoki سرنخ‌های بیشتری داد. او اغلب صدای «r» را به «l» تبدیل می‌کرد، امری که در میان گویشوران کره‌ای رایج است. اگرچه گویشوران ژاپنی نیز با این تمایز مشکل دارند، اما معمولاً هر دو صدا را در یک حالت خنثی تلفظ می‌کنند. او در پاسخ به سؤال‌های شخصی راحت‌تر به نظر می‌رسید. Motoki گفت در ژاپن به دنیا آمده و بزرگ شده، همسر یا فرزندی ندارد و ادعا کرد که در زبان ژاپنی مسلط است. او افزود: «من فوتبال را دوست دارم.» و آن را با «p» قوی تلفظ کرد که سرنخ دیگری از لهجه کره‌ای است.

یک هفته بعد از مصاحبه با Cointelegraph، گارسیا تلاش کرد نقشۀ فریب را ادامه دهد. او به Motoki پیام داد و گفت که رئیسش به‌خاطر مصاحبۀ مشکوک او را اخراج کرده است. این پیام آغاز سه هفته مبادله پیام خصوصی با Motoki بود. گارسیا همچنان وانمود کرد که Motoki یک توسعه‌دهندۀ ژاپنی است. او بعداً از Motoki خواست در پیدا کردن کار به او کمک کند.

در پاسخ، Motoki پیشنهادی داد که بینش بیشتری درباره روش‌های عملیاتی کره‌شمالی ارائه کرد. گارسیا گفت: «آن‌ها به من گفتند پول می‌فرستند تا کامپیوتر بخرم تا از طریق آن کار کنند.» این سازوکار اجازه می‌داد که عامل از راه دور به یک دستگاه در موقعیتی دیگر دسترسی یابد و بدون نیاز به VPN وظایف را انجام دهد، موضوعی که در پلتفرم‌های فریلنسینگ محبوب ممکن است مشکل‌ساز شود.

گارسیا و همکارش یافته‌های خود درباره خوشه عاملان مظنون DPRK مرتبط با bestselection18 را در ۱۶ آوریل در پلتفرم منبع‌باز تحقیقاتی Ketman منتشر کردند. چند روز بعد، Cointelegraph پیامی از گارسیا دریافت کرد: «طرفی که مصاحبه کردیم ناپدید شده است. تمام شبکه‌های اجتماعی‌اش تغییر کرده و همه چت‌ها و اطرافش پاک شده.» از آن زمان تاکنون هیچ خبری از Motoki در دست نیست.

عاملان مظنون کره‌شمالی به یک معضل تکراری برای استخدام‌کنندگان در صنایع فناوری تبدیل شده‌اند و صرافی‌های بزرگ رمزارز نیز هدف قرار گرفته‌اند. در ۲ مه، Kraken اعلام کرد که یک جاسوس سایبری کره‌شمالی را که قصد داشت در پلتفرم معاملاتی رمزارز آمریکا شغل بگیرد، شناسایی کرده است.

گزارش شورای امنیت سازمان ملل برآورد می‌کند که کارگران IT کره‌شمالی سالانه تا ۶۰۰ میلیون دلار برای رژیم درآمدزایی می‌کنند. این جاسوس‌ها می‌توانند دستمزدهای ثابت را به کشور خود منتقل کنند. سازمان ملل معتقد است این وجوه به تأمین مالی برنامه‌های تسلیحاتی آن کمک می‌کند که تا ژانویه ۲۰۲۴ بیش از ۵۰ کلاهک هسته‌ای را شامل می‌شود.