Wyciek ujawnia codzienne życie północnokoreańskich oszustów IT

7 sierpnia 2025, 19:15

Arkusze kalkulacyjne, wiadomości w Slacku i pliki powiązane z domniemaną grupą północnokoreańskich pracowników IT ujawniają ich skrupulatne planowanie zadań i ich celowanie — a także ciągłą inwigilację.

ZDJĘCIE-ILUSTRACJA: ZESPÓŁ WIRED; GETTY IMAGES

Poszukiwanie pracy to istne piekło. Marnuje się godziny na przeglądanie ofert pracy, poprawianie listów motywacyjnych, radzenie sobie z otępiałymi rekruterami – a to wszystko, zanim jeszcze zacznie się potencjalna rozmowa kwalifikacyjna. Można śmiało powiedzieć, że niektórzy z najbardziej płodnych kandydatów na świecie – a przynajmniej najbardziej wytrwałych – to kandydaci z rozrastających się północnokoreańskich programów dla pracowników IT . Przez lata represyjny reżim Kim Dzong Una z powodzeniem wysyłał wykwalifikowanych programistów za granicę, gdzie musieli znaleźć pracę zdalną i przesyłać pieniądze do tego obłożonego surowymi sankcjami i odizolowanego kraju. Według szacunków Organizacji Narodów Zjednoczonych , każdego roku tysiące pracowników IT zarabia od 250 do 600 milionów dolarów.

Teraz, pozornie ogromny zbiór danych, uzyskany przez badacza cyberbezpieczeństwa, rzuca nowe światło na sposób, w jaki grupa rzekomych północnokoreańskich informatyków prowadziła swoją działalność, oraz na skrupulatne planowanie związane z tymi schematami zarabiania pieniędzy. Pieniądze zarobione przez oszukańczych informatyków wspierają północnokoreańskie wysiłki w zakresie rozwoju broni masowego rażenia i programów rakietowych, poinformował rząd USA. E-maile, arkusze kalkulacyjne, dokumenty i wiadomości czatowe z kont Google, Github i Slack rzekomo powiązanych z domniemanymi północnokoreańskimi oszustami pokazują, jak śledzą oni potencjalne oferty pracy, rejestrują swoje bieżące aplikacje i rejestrują zarobki z dbałością o szczegóły.

Zbiór danych, który daje wgląd w codzienne życie niektórych północnokoreańskich pracowników IT, rzekomo zawiera również fałszywe dowody osobiste, które mogą być wykorzystywane w aplikacjach o pracę, a także przykładowe listy motywacyjne, informacje o farmach laptopów oraz instrukcje obsługi kont internetowych. Potwierdza to, jak bardzo pracownicy z Korei Północnej są uzależnieni od amerykańskich serwisów technologicznych, takich jak Google, Slack i GitHub.

„Myślę, że to pierwszy raz, kiedy mogę zobaczyć ich wewnętrzne [działania], jak działają” – mówi badacz ds. bezpieczeństwa, posługujący się pseudonimem SttyK , który poprosił o zachowanie anonimowości ze względu na obawy dotyczące prywatności i bezpieczeństwa. SttyK, który prezentuje swoje odkrycia na konferencji Black Hat poświęconej bezpieczeństwu w Las Vegas, twierdzi, że dane z kont internetowych przekazało im anonimowe, poufne źródło. „To kilkadziesiąt gigabajtów danych. To tysiące e-maili” – mówi SttyK, który pokazał WIRED swoją prezentację przed konferencją.

Pracownicy IT w Korei Północnej w ostatnich latach zinfiltrowali ogromne firmy z listy Fortune 500, wiele firm technologicznych i kryptowalutowych oraz niezliczone małe firmy. Chociaż nie wszystkie zespoły pracowników IT stosują te same podejścia, często używają fałszywych lub skradzionych tożsamości, aby zdobyć pracę, a także korzystają z pośredników, którzy pomagają im zatrzeć cyfrowe ślady . Pracownicy IT często mieszkają w Rosji lub Chinach i cieszą się większą swobodą i swobodami — widziano ich , jak cieszą się imprezami przy basenie i jedzą drogie kolacje ze stekami — niż miliony Koreańczyków z Północy, którym nie przysługują podstawowe prawa człowieka. Jeden z północnokoreańskich uciekinierów, który pracował jako pracownik IT, powiedział niedawno BBC, że 85 procent jego nielegalnie zarobionych pieniędzy zostało wysłanych do Korei Północnej. „To nadal o wiele lepsze niż wtedy, gdy byliśmy w Korei Północnej” — powiedział.

Liczne zrzuty ekranu arkuszy kalkulacyjnych w danych uzyskanych przez SttyK pokazują grupę pracowników IT, którzy wydają się być podzieleni na 12 grup – każda licząca około kilkunastu członków – i generalnie „głównego szefa”. Arkusze kalkulacyjne są metodologicznie ułożone w celu śledzenia zadań i budżetów: zawierają zakładki podsumowujące i analityczne, które umożliwiają szczegółową analizę danych dla każdej grupy. Wiersze i kolumny są starannie wypełnione; wydają się być regularnie aktualizowane i utrzymywane.

Tabele przedstawiają potencjalne oferty pracy dla pracowników IT. Jedna z nich, pozornie zawierająca codzienne aktualizacje, zawiera opisy stanowisk („potrzebujemy nowego programisty React i Web3”), firmy, które je ogłaszają, oraz ich lokalizacje. Zawiera również linki do ofert pracy na stronach internetowych dla freelancerów lub dane kontaktowe osób prowadzących rekrutację. Jedna z kolumn „status” informuje, czy dana osoba „oczekuje” lub czy „nawiązała kontakt”.

Zrzuty ekranu jednego z arkuszy kalkulacyjnych, które widział WIRED, najwyraźniej zawierają listę potencjalnych prawdziwych nazwisk samych pracowników IT. Obok każdego nazwiska znajduje się spis marek i modeli komputerów, które rzekomo posiadają, a także monitorów, dysków twardych i numerów seryjnych każdego urządzenia. „Główny szef”, którego nazwiska nie podano, najwyraźniej korzysta z 34-calowego monitora i dwóch dysków twardych o pojemności 500 GB.

Jedna ze stron „analizy” danych, z którymi zapoznał się SttyK, badacz bezpieczeństwa, zawiera listę rodzajów prac, w które zaangażowana jest grupa oszustów: sztuczna inteligencja, blockchain, web scraping, tworzenie botów, tworzenie aplikacji mobilnych i stron internetowych, handel, tworzenie systemów CMS, tworzenie aplikacji desktopowych i „inne”. Każda kategoria ma podany potencjalny budżet i pole „całkowita kwota zapłacona”. Kilkanaście wykresów w jednym arkuszu kalkulacyjnym rzekomo śledzi wysokość otrzymanych wynagrodzeń, najbardziej lukratywne regiony, w których można zarobić, oraz to, czy otrzymywanie płatności tygodniowych, miesięcznych, czy w formie stałej kwoty jest najbardziej opłacalne.

„To jest prowadzone profesjonalnie” – mówi Michael „Barni” Barnhart, czołowy północnokoreański badacz hakowania i zagrożeń , pracujący dla firmy DTEX, zajmującej się bezpieczeństwem wewnętrznym. „Każdy musi wyznaczyć sobie limity. Wszystko musi być zanotowane. Wszystko musi być odnotowane” – mówi. Badacz dodaje, że zaobserwował podobny poziom prowadzenia dokumentacji u wyrafinowanych północnokoreańskich grup hakerskich , które w ostatnich latach ukradły miliardy dolarów w kryptowalutach i działają w dużej mierze niezależnie od schematów działania pracowników IT. Barnhart zapoznał się z danymi uzyskanymi przez SttyK i twierdzi, że pokrywają się one z tym, co on i inni badacze śledzili.

„Uważam, że te dane są jak najbardziej prawdziwe” – mówi Evan Gordenker, starszy menedżer ds. doradztwa w zespole ds. analizy zagrożeń Unit 42 w firmie z branży cyberbezpieczeństwa Palo Alto Networks, który również widział dane uzyskane przez SttyK. Gordenker twierdzi, że firma śledziła wiele kont w tych danych, a jedno z popularnych kont GitHub wcześniej publicznie ujawniało pliki pracowników IT. Żaden z adresów e-mail powiązanych z KRLD nie odpowiedział na prośbę WIRED o komentarz.

GitHub usunął trzy konta programistów po tym, jak WIRED skontaktował się z Rajem Laudem, dyrektorem ds. cyberbezpieczeństwa i bezpieczeństwa online, twierdząc, że zostały one zawieszone zgodnie z przepisami dotyczącymi „spamu i nieautentycznej aktywności”. „Powszechność tego typu zagrożeń ze strony państw narodowych stanowi wyzwanie dla całej branży i złożoną kwestię, którą traktujemy poważnie” – mówi Laud.

Google odmówiło komentarza na temat konkretnych kont udostępnionych przez WIRED, powołując się na politykę prywatności i bezpieczeństwa kont. „Wdrożyliśmy procedury i polityki wykrywania takich działań i zgłaszania ich organom ścigania” – mówi Mike Sinno, dyrektor ds. wykrywania i reagowania w Google. „Procesy te obejmują podejmowanie działań przeciwko oszustwom, proaktywne powiadamianie organizacji będących celem ataków oraz współpracę z partnerami publicznymi i prywatnymi w celu udostępniania informacji o zagrożeniach, co wzmacnia obronę przed tymi kampaniami”.

„Wdrożyliśmy surowe zasady, które zabraniają korzystania ze Slacka osobom lub podmiotom objętym sankcjami, i podejmujemy szybkie działania w przypadku wykrycia działań naruszających te zasady” – mówi Allen Tsai, starszy dyrektor ds. komunikacji korporacyjnej w Salesforce, spółce macierzystej Slacka. „Współpracujemy z organami ścigania i odpowiednimi władzami zgodnie z wymogami prawa i nie komentujemy konkretnych kont ani trwających dochodzeń”.

Inny arkusz kalkulacyjny również wymienia członków jako część „jednostki” o nazwie „KUT”, potencjalny skrót od północnokoreańskiego Uniwersytetu Technologicznego Kim Chaek , który został cytowany w ostrzeżeniach rządu USA dotyczących pracowników IT powiązanych z KRLD. Jedna z kolumn w arkuszu kalkulacyjnym również wymienia „własność” jako „Ryonbong”, prawdopodobnie odnosząc się do firmy zbrojeniowej Korea Ryonbong General Corporation, która została objęta sankcjami USA od 2005 r., a ONZ od 2009 r . „Zdecydowana większość z nich [pracowników IT] podlega i pracuje w imieniu podmiotów bezpośrednio zaangażowanych w zakazane przez ONZ programy KRLD dotyczące broni masowego rażenia i pocisków balistycznych, a także w sektory rozwoju zaawansowanej broni konwencjonalnej i handlu” – podał Departament Skarbu USA w raporcie z maja 2022 r .

W niezliczonej liczbie powiązanych kont GitHub i LinkedIn, CV i witryn portfolio pracowników IT, które badacze zidentyfikowali w ostatnich latach, często można zaobserwować wyraźne wzorce. Adresy e-mail i konta używają tych samych nazw; CV mogą wyglądać identycznie. „Ponowne wykorzystywanie treści CV to również coś, co często obserwowaliśmy w ich profilach” – mówi Benjamin Racenberg, starszy badacz, który śledził profile północnokoreańskich pracowników IT w firmie Nisos zajmującej się cyberbezpieczeństwem. Racenberg twierdzi, że oszuści coraz częściej wykorzystują sztuczną inteligencję do manipulacji obrazami , prowadzenia rozmów wideo i jako część wykorzystywanych przez siebie skryptów. „W przypadku witryn portfolio widzieliśmy, jak używają szablonów i powtarzają ten sam szablon w kółko” – mówi Racenberg.

Wszystko to wskazuje na codzienną harówkę informatyków odpowiedzialnych za prowadzenie przestępczych operacji dla reżimu Kima. „To dużo kopiowania i wklejania” – mówi Gordenker z Jednostki 42. Jeden z podejrzanych informatyków, którego Gordenker namierzył, został zauważony pod 119 tożsamościami. „Wyszukuje w Google japońskie generatory nazwisk – oczywiście z błędami – a następnie przez około cztery godziny po prostu wypełnia arkusze kalkulacyjne pełne nazwisk i potencjalnych miejsc [do ataku]”.

Szczegółowa dokumentacja służy jednak również innemu celowi: śledzeniu pracowników IT i ich działań. „Kiedy pieniądze trafiają w ręce kierownictwa, jest wiele ruchomych elementów, więc będą potrzebować dokładnych liczb” – mówi Barnhart z DTEX. Oprogramowanie do monitorowania pracowników było w niektórych przypadkach widoczne na komputerach oszustów , a badacze twierdzą, że Koreańczycy z Północy podczas rozmów kwalifikacyjnych nie odpowiadają na pytania dotyczące Kima .

SttyK twierdzi, że widział dziesiątki nagrań ekranowych na kanałach Slacka, pokazujących dzienną aktywność pracowników. Na zrzutach ekranu z instancji Slacka konto „Szef” wysyła wiadomość: „@channel: Wszyscy powinni starać się pracować dłużej niż co najmniej 14 godzin dziennie”. W kolejnej wiadomości czytamy: „Jak wiesz, ten wykres czasu obejmuje czas bezczynności”.

„Co ciekawe, komunikowali się wyłącznie po angielsku, a nie po koreańsku” – mówi SttyK. Badacz, podobnie jak inni, spekuluje, że może to wynikać z kilku powodów: po pierwsze, aby wpasować się w legalną działalność; po drugie, aby poprawić znajomość języka angielskiego w kontekście aplikacji i rozmów kwalifikacyjnych. Dane z konta Google, jak twierdzi SttyK, pokazują, że często korzystali z tłumaczenia online do przetwarzania wiadomości.

Poza powierzchownym spojrzeniem na sposoby, w jakie pracownicy IT monitorują swoją wydajność, dane uzyskane przez SttyK dają pewne ograniczone wskazówki dotyczące codziennego życia poszczególnych oszustów. Jeden z arkuszy kalkulacyjnych zawiera listę turnieju siatkówki, który najwyraźniej zaplanowali pracownicy IT; na kanałach Slacka świętowali urodziny i udostępniali inspirujące memy z popularnego konta na Instagramie. Na niektórych nagraniach ekranowych, jak mówi SttyK, widać ich grających w Counter-Strike'a . „Czułem, że wśród członków panuje silna jedność” – mówi SttyK.