Güvenlik araştırmacıları, Kuzey Koreli bilgisayar korsanlarının, bilgisayar korsanlarının yaptıkları bir hata nedeniyle kurumsal yazılım şirketi JumpCloud’a son zamanlarda yapılan bir izinsiz girişin arkasında olduğuna büyük güven duyduklarını söylüyorlar.
JumpCloud’un etkilenen müşterilerinden birine yardım eden Mandiant, ihlali Kuzey Kore’nin Genel Keşif Bürosu veya kripto para birimi şirketlerini hedef alan ve yöneticilerden ve güvenlik ekiplerinin şifrelerini çalan bir bilgisayar korsanlığı birimi olan RGB için çalışan bilgisayar korsanlarına bağladı. Kuzey Kore, yaptırım uygulanan nükleer silah programını finanse etmek için uzun süredir kripto para hırsızlıklarını kullanıyor.
İçinde bir blog yazısı, Mandiant, UNC4899 olarak adlandırdığı bilgisayar korsanlığı biriminin (yeni, sınıflandırılmamış bir tehdit grubu olduğu için) yanlışlıkla gerçek dünyadaki IP adreslerini ifşa ettiğini söyledi. Kuzey Koreli bilgisayar korsanları, IP adreslerini maskelemek için genellikle ticari VPN hizmetlerini kullanırdı, ancak “birçok durumda” VPN’ler çalışmadı veya bilgisayar korsanları, kurbanın ağına erişirken bunları kullanmadı ve Pyongyang’dan erişimlerini açığa çıkardı.
Mandiant, kanıtlarının bunun “bir OPSEC hatası” olduğunu desteklediğini, operasyonel güvenliğe – bilgisayar korsanlarının bilgisayar korsanlığı kampanyalarının bir parçası olarak faaliyetleriyle ilgili bilgilerin sızmasını engellemeye çalıştıkları yola – atıfta bulunduğunu söyledi. Araştırmacılar, daha önce Kuzey Kore’ye atfedilen bilgisayar korsanları tarafından kullanılan bu izinsiz girişte kullanılan ek altyapıyı da ortaya çıkardıklarını söylediler.
“Kuzey Kore-nexus tehdit aktörleri, kripto para birimini çalmak için siber saldırı yeteneklerini geliştirmeye devam ediyor. Mandiant’ın CTO’su Charles Carmakal, “Geçen yıl boyunca, birden fazla tedarik zinciri saldırısı gerçekleştirdiklerini, yasal yazılımları zehirlediklerini ve özel kötü amaçlı yazılım geliştirip MacOS sistemlerine yerleştirdiklerini gördük” dedi. “Nihayetinde şirketlerle kripto paraları tehlikeye atmak istiyorlar ve oraya ulaşmak için yaratıcı yollar buldular. Ama aynı zamanda bazı izinsiz girişleri onlara atfetmemize yardımcı olan hatalar da yapıyorlar.”
SentinelOne ve CrowdStrike, Kuzey Kore’nin JumpCloud saldırısının arkasında olduğunu da doğruladı.
JumpCloud, geçen hafta yaptığı kısa bir gönderide, beşten az kurumsal müşterisinin ve 10’dan az cihazının Kuzey Kore bilgisayar korsanlığı kampanyası tarafından hedef alındığını söyledi. JumpCloud, Haziran ayında bir izinsiz girişi bildirdikten sonra müşteri API anahtarlarını sıfırladı. JumpCloud’un GoFundMe, ClassPass ve Foursquare dahil 200.000’den fazla kurumsal müşterisi vardır.