قراصنة كوريون شماليون يستهدفون العاملين المستقلين على منصتي Upwork و GitHub

بحسب باحثي الأمن السيبراني، قام عملاء كوريا الشمالية "بتنويع" أساليبهم في الاحتيال على الضحايا من خلال منصات العمل الحر واستضافة البرامج التي تجند مستخدمين غير مدركينdentهوية لوظائف تقنية عن بعد. 

يستخدم العاملون في مجال تكنولوجيا المعلومات في جمهورية كوريا الديمقراطية الشعبية منصات Upwork و Freelancer و GitHub لانتحال شخصيات العاملين الشرعيين والتهرب من العقوبات الدولية باستخدام حسابات موثقة تعود لأشخاص حقيقيين.

وفقًا لباحث الأمن السيبراني هاينر غارسيا بيريز، وهو عضو في SEAL Intel، يبدأ المتسللون بنشر عروض عمل حرة أو التواصل مع المرشحين، ثم ينقلون المحادثات إلى قنوات مشفرة مثل Telegram أو Discord، حيث يقدمون تعليمات مفصلة حول كيفية إعداد الوصول عن بعد وعمليات التحقق.

تستخدم الجهات الفاعلة السيئة في كوريا الشمالية عملاء مستقلين للالتفاف على العقوبات

غارسيا وجد أن عملاء كوريا الشمالية يمكنهم تجاوز المرشحات الجغرافية،dentdentdentdentdentdentdentdentdent. 

فهي تمكنهم من التقدم لوظائف تكنولوجيا المعلومات عن بعد أو القيام بها باستخدام هوية مسروقة أوdent، وإخفاء أصلهم أثناء تحصيل المدفوعات من العملاء غير المشتبه بهم. 

وكتب عضو الاستخبارات في قوات البحرية الخاصة: "هؤلاء الفاعلون منظمون ومنسقون ويتبادلون خطط العمليات. إن اتساق أساليبهم يدل على أن هذا جزء من نظام قابل للتكرار ومدعوم من الدولة".

كما ذكر موقع Cryptopolitan في أغسطس، تسلل عدد من العاملين في مجال تكنولوجيا المعلومات من كوريا الشمالية إلى شركات دولية باستخدام هويات مزورةdentوقد ساعد هذا، بحسب التقارير، سلطات كوريا الشمالية على توظيف متخصصين في تكنولوجيا المعلومات عن بُعد في الخارج للحصول على وظائف حرة أوtracباستخدام هويات مسروقة أو مستعارةdent، بالإضافة إلى شركات وهمية تخفي انتماءاتهم.

أولئك الذين يتم استخدامdentلا يحصلون إلا على حوالي 20% من إجمالي الأرباح، بينما يحتفظ المنفذون بـ 80%، والتي يتم تحويلها عبر محافظ العملات المشفرة أو حتى الحسابات المصرفية التقليدية. 

استخدام الذكاء الاصطناعي للتلاعب بالصور وأسماء الشركات

كشف تحقيق غارسيا بيريز عن عدة سلوكيات تتسم بالبراعة التقنية والتستر المتعمد. ففي إحدى الحالات، أنشأ موظف في قسم تقنية المعلومات مجلدًا على جوجل درايف بعنوان "صوري"، حيث تم تخزين صور شخصية معدلة بواسطة الذكاء الاصطناعي إلى جانب مجلدات تحمل أسماء أشخاص آخرين. ويعتقد أن هذه الوثائق الرقمية تمثل حسابات منفصلة يديرها نفس الشخص.

كشفت الملفات التي استعادها من القرص الصلب عن تفاصيل أعمق حول عمليات التوظيف والدفع. أحد هذه الملفات، بعنوان "الحساب"، احتوى على تعليمات تشرح كيفية الوصول إلى منصة Upwork، والغرض من التعاون، وكيفية تقسيم الأرباح. 

بعض المجلدات كانت تحمل أسماءً باللغة الكورية، مثل "it개발 매칭 플랫폼 사이트"، والتي تُترجم إلى "موقع منصة التوفيق بين تطوير تكنولوجيا المعلومات". وقد افترض المحقق أن هذه الوثائق كانت تُستخدم "للمستخدمين الناطقين باللغة الكورية وللنظام البيئي لتكنولوجيا المعلومات المحلي"

كما وجد هاينر غارسيا بيريز أن الجهات الفاعلة الكورية الشمالية تستغل المجتمعات الإلكترونية للأشخاص ذوي الإعاقة، وبوابات التوفيق بين الوظائف، وحتى مواقع الصداقة مثل InterPals لتجنيد المتعاونين.

تتم عمليات الدفع عبر العملات المشفرة، وباي بال، والبنوك

تتركز الأهداف المثالية لمثل هذه العمليات في الغالب في الولايات المتحدة وأوروبا وأجزاء من آسيا. ومع ذلك، كانت أوكرانيا والفلبين أكثر المناطق التيdentفي مواد التوظيف نظرًا لوجود مرشحين من ذوي الدخل المنخفض في هذه المناطق، والذين قد يكونون أكثر تقبلاً لفرص الكسب السريع

"إذا نشر عميل مشروعًا، يتقدم العديد من المستقلين بعروضهم عليه. يناقش العميل مشروعه مع المستقلين، ثم يُسند المشروع إلى المطور المختار. إذا اخترتُ، يمكنني العمل على مشروع العميل. بعد إنجاز المشروع، أتلقى أجري من العميل، ويُضاف المبلغ إلى حسابي كمستقل"، هكذا شرح أحد مسؤولي التوظيف في مجال تكنولوجيا المعلومات لصاحبة حساب مستقل تُدعى "آنا" كيفية الربح من العمل الحر

يتم الاتفاق على هيكل تقاسم الأرباح بين العاملين والمتعاونين في وقت مبكر من عملية التبادل. وفي معظم الحالات الموثقة، يقنع العاملون في مجال تكنولوجيا المعلومات الضحايا بتحويل الأموال عبر العملات المشفرة، أو باي بال، أو حتى التحويلات المصرفية.

في إحدى الحالات الموثقة، استخدم عامل تكنولوجيا المعلومات الكوري الشمالي حساب Upwork احتيالي مسجلdentمهندس معماري مقيم في ولاية إلينوي.