Küresel olarak, Kuzey Kore’nin Kimsuky gelişmiş kalıcı tehdit grubu (aka APT43) ve onun ayırt edici özellikleri etrafında ilgi arttı. Yine de, incelemeye rağmen grup yavaşlama belirtisi göstermiyor.
Kimsuky, ana amacı genellikle (ancak yalnızca değil) politika ve nükleer silah araştırmaları alanlarında casusluk yapmak olan, hükümetle bağlantılı bir tehdit aktörüdür. Hedefleri hükümet, enerji, ilaç ve finans sektörlerini ve bunun da ötesinde, çoğunlukla Kuzey Kore’nin baş düşman olarak gördüğü Güney Kore, Japonya ve Amerika Birleşik Devletleri’ni kapsıyor.
Kimsuky kesinlikle yeni bir ekip değil – CISA grubun faaliyetlerini takip etti 2012’ye kadar tüm yol. Geçen ay ilgi zirve yaptı siber güvenlik firması Mandiant’tan raporve Alman ve Koreli yetkililerin ortak uyarısına yol açan Chrome uzantısı tabanlı bir kampanya. İçinde 20 Nisan’da yayınlanan bir blogVirusTotal, aşağıdaki grafikte gösterildiği gibi, Kimsuky ile ilişkili kötü amaçlı yazılım aramalarındaki ani artışı vurguladı.
Birçok APT, araştırmacıların ve kolluk kuvvetlerinin artan incelemeleri altında çökmüştür. Ancak işaretler, Kimsuky’nin etkilenmediğini gösteriyor.
Mandiant’ta tipik APT’lerin baş analisti olan Michael Barnhart, “Genellikle içgörüleri yayınladığımızda, ‘Oh, vay, ifşa olduk. Yer altına inme zamanı’ diyorlar” diyor.
Ancak Kimsuky’nin durumunda, “kimsenin umurunda değil. Bu şeyde sıfır yavaşlama gördük.”
Kimsuky’ye Neler Oluyor?
Kimsuky, iki alt gruba doğrudan bölünme dahil olmak üzere birçok yineleme ve evrim geçirdi. Üyeleri hedef odaklı kimlik avında en deneyimli kişilerdir ve peşinde oldukları hassas bilgilere daha yakın olmak için kimlik avı e-postalarında – genellikle haftalarca – hedeflenen kuruluşların üyelerinin kimliğine bürünürler.
Bununla birlikte, yıllar boyunca dağıttıkları kötü amaçlı yazılım çok daha az tahmin edilebilir. Kötü amaçlı tarayıcı uzantıları, uzaktan erişim Truva atları, modüler casus yazılımlar ve daha fazlasıyla eşit yetenek sergilediler; bazıları ticari, bazıları değil.
Blog gönderisinde VirusTotal, APT’nin .docx makroları aracılığıyla kötü amaçlı yazılım dağıtma eğilimini vurguladı. Ancak birkaç durumda, grup CVE-2017-0199Windows ve Microsoft Office’te 7.8 yüksek önem dereceli rasgele kod yürütme güvenlik açığı.
Son zamanlarda Kimsuky’ye olan ilginin artmasıyla VirusTotal, yüklenen örneklerin çoğunun Güney Kore ve Amerika Birleşik Devletleri’nden geldiğini ortaya çıkardı. Bu, grubun geçmişi ve amaçlarıyla uyumludur. Bununla birlikte, İtalya ve İsrail gibi Kuzey Kore siyasetiyle hemen ilişkilendirilemeyecek ülkelerde de kolları var.
Örneğin, aramalar söz konusu olduğunda – numunelerle ilgilenen bireyler – ikinci en çok hacim Türkiye’den geliyor. Blog gönderisine göre, “Bu, Türkiye’nin Kuzey Kore siber saldırılarının kurbanı veya kanalı olduğunu düşündürebilir.”
Kimsuky’ye Karşı Nasıl Savunma Yapılır?
Kimsuky, ülkeler ve sektörler genelindeki kuruluşları hedef aldığından, onlar hakkında endişelenmesi gereken kuruluşların sayısı, çoğu ulus devlet APT’sinden daha fazladır.
Barnhart, “Öyleyse, her yerde vaaz ettiğimiz şey, sayıların gücüdür. Dünyadaki tüm bu kuruluşlarla, birbirimizle konuşmamız önemlidir. İşbirliği yapmamız önemlidir. Hiç kimse faaliyet göstermemeli” diyor. bir silo.”
Ve Kimsuky, bireyleri daha büyük saldırılar için kanal olarak kullandığı için herkesin tetikte olması gerektiğini vurguluyor. “Hepimizin şu temele sahip olması önemlidir: bağlantılara tıklamayın ve çok faktörlü kimlik doğrulamanızı kullanın.”
Spear kimlik avına karşı basit önlemlerle, Kuzey Koreli bilgisayar korsanları bile engellenebilir. Barnhart, “Gördüğümüz kadarıyla, siber hijyeninizi takip etmek için gerçekten zaman ayırırsanız işe yarıyor,” diyor.