As tabelas mostram os potenciais empregos -alvo para os trabalhadores de TI. Uma folha, que aparentemente inclui atualizações diárias, lista as descrições de tarefas (“Precisa de um novo react e desenvolvedor da Web3”), as empresas que as anunciam e seus locais. Ele também vincula as vagas em sites freelancers ou detalhes de contato para aqueles que conduzem a contratação. Uma coluna “status” diz se eles estão “esperando” ou se houve “contato”.
As capturas de tela de uma planilha vista pela Wired parece listar os nomes potenciais do mundo real dos próprios trabalhadores de TI. Juntamente com cada nome, há um registro da marca e modelo de computador que eles supostamente têm, bem como monitores, discos rígidos e números de série para cada dispositivo. O “mestre chefe”, que não tem um nome listado, está aparentemente usando um monitor de 34 polegadas e dois discos rígidos de 500 GB.
Uma página de “análise” nos dados vistos por Sttyk, o pesquisador de segurança, mostra uma lista de tipos de trabalho em que o grupo de fraudadores está envolvido em: IA, blockchain, raspagem na web, desenvolvimento de bot, aplicativos móveis e desenvolvimento da Web, negociação, desenvolvimento de CMS, desenvolvimento de aplicativos de desktop e “outros”. Cada categoria possui um orçamento potencial listado e um campo “Pagado total”. Uma dúzia de gráficos em uma planilha reivindica rastrear quanto foram pagos, as regiões mais lucrativas para ganhar dinheiro e se receber semanalmente, mensalmente ou como uma soma fixa é a mais bem -sucedida.
“Está correndo profissionalmente”, diz Michael “Barni” Barnhart, um líder Pesquisador de hackers e ameaças norte -coreano que trabalha para a empresa de segurança de ameaças interna DTEX. “Todo mundo tem que fazer suas cotas. Tudo precisa ser anulado. Tudo precisa ser observado”, diz ele. O pesquisador acrescenta que ele viu níveis semelhantes de manutenção de registros com A Coréia do Norte é sofisticada grupos de hackersque roubaram bilhões em criptomoeda nos últimos anos e são amplamente separados para os esquemas de trabalhadores de TI. Barnhart viu os dados obtidos por Sttyk e diz que se sobrepõe ao que ele e outros pesquisadores estavam rastreando.
“Eu acho que esses dados são muito reais”, diz Evan Gordenker, gerente sênior de consultoria da equipe de inteligência de ameaças da Unidade 42 da empresa de segurança cibernética Palo Alto Networks, que também viu os dados obtidos. Gordenker diz que a empresa estava rastreando várias contas nos dados e que uma das contas proeminentes do GitHub exponha anteriormente os arquivos dos trabalhadores de TI publicamente. Nenhum dos endereços de email ligados à RPDC respondeu aos pedidos de comentários da Wired.
O Github removeu três contas de desenvolvedor depois que Wired entrou em contato, com Raj Laud, o chefe de segurança cibernética e segurança on -line da empresa, dizendo que eles foram suspensos de acordo com suas regras de “spam e atividade inautêntica”. “A prevalência de tal atividade de ameaça-estado-nação é um desafio em todo o setor e uma questão complexa que levamos a sério”, diz Laud.
O Google se recusou a comentar sobre contas específicas fornecidas, citando políticas em torno da privacidade e segurança da conta. “Temos processos e políticas em vigor para detectar essas operações e relatá -las à aplicação da lei”, diz Mike Sinno, diretor de detecção e resposta no Google. “Esses processos incluem agir contra atividades fraudulentas, notificar proativamente organizações direcionadas e trabalhar com parcerias públicas e privadas para compartilhar a inteligência de ameaças que fortalece as defesas contra essas campanhas”.