تُظهر الجداول الوظائف المستهدفة المحتملة للعاملين في تكنولوجيا المعلومات. ورقة واحدة ، والتي تتضمن على ما يبدو تحديثات يومية ، وتسرد توصيفات الوظائف (“تحتاج إلى مطور جديد و WEB3”) ، والشركات التي تعلن عنها ، ومواقعها. كما أنه يرتبط بالاشارات الشاغرة على مواقع الويب المستقلة أو تفاصيل الاتصال لأولئك الذين يقومون بالتوظيف. يقول عمود “حالة” ما إذا كانوا “ينتظرون” أو إذا كان هناك “اتصال”.
يبدو أن لقطات من جدول بيانات واحد يراها Wired لدرج أسماء العالم الحقيقي المحتملة لعمال تكنولوجيا المعلومات أنفسهم. إلى جانب كل اسم ، يوجد سجل لصنع وطراز الكمبيوتر الذي يُزعم أنه لديهم ، وكذلك الشاشات ، والمحركات الصلبة ، والأرقام التسلسلية لكل جهاز. يبدو أن “Master Boss” ، الذي ليس لديه اسم مدرج ، يستخدم شاشة 34 بوصة ومحركات أقراص صلبة 500 جيجابايت.
تُظهر إحدى صفحات “التحليل” في البيانات التي شاهدتها STTYK ، الباحث الأمني ، قائمة من أنواع العمل التي تشارك فيها مجموعة من المحتالين: AI ، blockchain ، تجريف الويب ، تطوير الروبوت ، تطبيق الهاتف المحمول وتطوير الويب ، تداول ، تطوير CMS ، تطوير تطبيق سطح المكتب ، و “الآخرين”. كل فئة لها ميزانية محتملة مدرجة وحقل “إجمالي مدفوع”. تدعي عشرات الرسوم البيانية في جدول بيانات واحد تتبع المبلغ الذي تم دفعه ، والمناطق الأكثر ربحًا لكسب المال منها ، وما إذا كانت الحصول على أجر أسبوعيًا أو شهريًا أو كمبلغ ثابت هو الأكثر نجاحًا.
يقول مايكل “بارني” بارنهارت ، وهو باحث بارز في شركة DTEX للوقوف في كوريا الشمالية والذي يعمل لصالح شركة أمن التهديدات الداخلية DTEX: “إنه يدير بشكل احترافي”. يقول: “يجب على الجميع أن يصنعوا حصصه. كل شيء يجب أن يدوس. كل شيء يجب ملاحظة”. ويضيف الباحث أنه شاهد مستويات مماثلة من حفظ السجلات مع مجموعات القرصنة المتطورة في كوريا الشمالية ، والتي سرقت مليارات الدولارات في العملة المشفرة في السنوات الأخيرة ، وهي منفصلة إلى حد كبير عن مخططات عملة تكنولوجيا المعلومات. شاهد Barnhart البيانات التي حصلت عليها STTYK وتقول إنها تتداخل مع ما كان عليه هو والباحثون الآخرون.
يقول إيفان جوردينكر ، مدير استشاري في فريق التهديدات الاستخباراتية لشركة Palo Alto Networks ، التي شاهدت بيانات STTYK التي تم الحصول عليها أيضًا على البيانات التي تم الحصول عليها من Data STTYK التي تم الحصول عليها أيضًا ، “أعتقد أن هذه البيانات حقيقية للغاية”. يقول Gordenker إن الشركة كانت تتبع حسابات متعددة في البيانات وأن أحد حسابات GitHub البارزة كان يعرض ملفات عمال تكنولوجيا المعلومات في السابق. لم يتم الرد على أي من عناوين البريد الإلكتروني المرتبطة بـ DPRK لطلبات Wired للتعليق.
قام Github بإزالة ثلاثة حسابات من المطورين بعد أن تواصل Wired ، مع راج لاود ، رئيس الشركة للأمن السيبراني والسلامة عبر الإنترنت ، قائلاً إنها تم تعليقها بما يتماشى مع قواعد “البريد العشوائي والنشاط غير الموثوق”. يقول لاود: “إن انتشار نشاط التهديد للدولة القومية يمثل تحديًا على مستوى الصناعة وقضية معقدة نأخذها على محمل الجد”.
ورفضت Google التعليق على حسابات محددة مقدمة ، مشيرة إلى سياسات حول خصوصية الحساب والأمان. يقول مايك سينو ، مدير الكشف والاستجابة في Google: “لدينا عمليات وسياسات معمول بها للكشف عن هذه العمليات والإبلاغ عنها لإنفاذ القانون”. “تشمل هذه العمليات اتخاذ إجراءات ضد النشاط الاحتيالي ، وإخطار المنظمات المستهدفة بشكل استباقي ، والعمل مع الشراكات العامة والخاصة لتبادل ذكاء التهديد الذي يعزز الدفاعات ضد هذه الحملات.”
