几个月以来,Cointelegraph参加了一项调查,围绕一个涉嫌朝鲜的特工,该调查发现了一群威胁性参与者,试图在加密货币行业获得自由职业演出。
该调查由Telefónica的网络威胁情报专家Heiner Garcia和一个区块链安全研究人员领导。加西亚(Garcia)发现,即使不使用VPN,朝鲜特工如何在网上获得自由职业者的工作。
加西亚的分析将申请人与据信与朝鲜运营相关的github帐户和假日身份的网络联系起来。 2月,加西亚(Garcia)邀请Cointelegraph参加了他与怀疑的民主党人民共和国(DPRK)特工进行了一次虚拟工作面试,他称自己为“ Motoki”。
最终,Motoki不小心将链接与北朝鲜威胁行为者的一群人接触,然后怒气冲冲。
这就是发生的事情。
怀疑是朝鲜加密间谍作为日本开发商
加西亚(Garcia)于1月下旬在Github上首次在Github上遇到Motoki,同时调查了一个与可疑的DPRK威胁演员相关的集群,称为“ BestSelection18”。人们普遍认为,该帐户是由经验丰富的DPRK IT渗透器操作的。它是一组更广泛的涉嫌操作员的一部分,他们通过OnlyDust等自由职业平台渗透了加密货币经济。
大多数朝鲜州演员都不会在他们的帐户中使用人脸照片,因此,Motoki的个人资料引起了加西亚的注意。
加西亚对Cointelegraph说:“我直截了当地说,只是用电报写信给他。 “这很容易。我什至没有说公司的名字。”
2月24日,加西亚(Garcia)邀请Cointelegraph的韩国记者参加即将进行的假冒公司采访 – 希望能在电话结束时与涉嫌在韩国人的DPRK特工交谈。
我们很感兴趣;如果我们能与一个手术人员见面,我们就有机会了解这些策略的效果,并希望如何应对它们。
2月25日,加西亚(Garcia)和Cointelegraph遇到了Motoki。我们保留了网络摄像头,但Motoki没有。在以英语进行的采访中,Motoki经常对不同的问题重复相同的回答,将工作面试变成尴尬而僵硬的对话。
Motoki表现出可疑的行为与合法的日本开发商的行为不一致。首先,他不会说这种语言。
有关的: 从索尼到拜特比特:拉撒路集团如何成为加密的超级挑战
我们要求Motoki用日语自我介绍。屏幕灯反映出他的脸,表明他正在疯狂地浏览标签和窗户,以找到一个脚本来帮助他回答。
有一个长时间的沉默。
“ jikoshōkaio Onegaishimasu,,,,透明 Cointelegraph重复了这一请求,这次是日语。
Motoki皱了皱眉,扔掉了耳机,然后离开了采访。
与BestSelection18相比,Motoki草率很草率。他通过在采访中分享屏幕来揭示关键细节。加西亚(Garcia)理论上,Motoki可能是与BestSelection合作的低级手术室。18。
Motoki与Garcia打了两个电话,其中一个与Cointelegraph进行了。在这两个电话中,他的屏幕管理揭示了使用BestSelection18的私人GitHub存储库的访问权限。
“这就是我们将整个操作和整个集群联系起来的方式……他分享了他的屏幕并透露他正在与 [bestselection18] 在私人仓库中,”加西亚说。
语言线索指向朝鲜血统
在2018年的一项研究中,研究人员 观察到 韩国男性往往比东亚邻国更广泛,更重要的面部结构,而日本男性通常的面孔较窄。尽管在这种情况下进行广泛的概括,但Motoki的外观与研究中描述的韩国人物更加一致。
“好吧,让我自我介绍。所以,我是区块链和AI的经验丰富的工程师,专注于开发创新和有影响力的产品,” Motoki在采访中说,他的眼睛从左到右扫描,好像在阅读脚本一样扫描。
Motoki的英文发音提供了更多线索。他经常以“ r”为“ l”,一个 替代 在韩国演讲者中很常见。日本人的演讲者也为这种区别而挣扎,但倾向于将两种声音融合到中性襟翼中。
在个人问题中,他似乎更加放松。 Motoki说,他在日本出生和长大,没有妻子或孩子,并声称是流利的。 “我喜欢足球,”他微笑着,用强烈的“ P”声音发音 – 另一种 暗示 更典型的韩国英语。
有关的: 鲸鱼,黑客和心理地震袭击了十六进制
Motoki揭开了另一种朝鲜战术
在接受Cointelegraph采访的大约一周后,加西亚试图延长魅力。他向Motoki发出了消息,并声称由于可疑的采访,他的老板解雇了他。
这导致与Motoki进行了三个星期的私人消息交流。加西亚继续演奏,假装Motoki是日本开发商。
加西亚后来询问Motoki帮助找工作。作为回应,Motoki提供了一项协议,为朝鲜的一些运营方法提供了更多的见解。
加西亚说:“他们告诉我,他们会寄钱给我买计算机,以便他们可以通过我的计算机工作。”
该安排将使操作员可以从另一个位置远程访问机器并执行任务而无需VPN连接,这可以触发流行的自由职业平台上的问题。
加西亚(Garcia)和他的搭档在4月16日在开源调查平台凯特曼(Ketman)上发表了与BestSelection18相关的可疑DPRK操作人员集群的发现。
几天后,Cointelegraph收到了加西亚的消息:“我们采访的那个人消失了。他的所有社交都改变了。所有的聊天和周围的一切都已删除。”
从那以后就一直没有听到Motoki的声音。
怀疑的朝鲜操作员已成为整个科技行业招聘人员的经常性问题。甚至主要的加密交易所也是针对的。 5月2日,Kraken报告了它确定了 朝鲜网络间谍试图找到工作 在美国加密货币交易平台。
联合国安理会报告 估计 该政权每年为朝鲜IT工人每年产生高达6亿美元。这些间谍能够将一致的工资汇回朝鲜。联合国认为这些资金有助于为其武器计划提供资金 – 截至2024年1月, 想法 包括50多个核弹头。
