Kuzey Kore’nin dış istihbarat servisi adına faaliyet gösteren ve uzun zamandır bilinen bir siber casusluk grubu, kendi nükleer ve askeri programlarını ilerletmek amacıyla ABD ve diğer ülkelerdeki kuruluşlardan sistematik olarak teknik bilgi ve fikri mülkiyet çalıyor.
Güvenlik sağlayıcılarının Andariel, Silent Chollima, Onyx Sleet ve Stonefly gibi çeşitli isimlerle takip ettiği grubun, kampanyayı finanse etmek için ABD sağlık kuruluşlarına fidye yazılımı saldırıları düzenlediği ABD hükümeti tarafından bu hafta uyarıldı.
Açık ve Mevcut Bir Tehlike
Ortak bir danışma toplantısındaFBI, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Ulusal Güvenlik Ajansı (NSA) ve diğerleri tehdit aktörünün öncelikli olarak ABD, Japonya, Güney Kore ve Hindistan’daki savunma, havacılık, nükleer ve mühendislik kuruluşlarını hedef aldığını tespit etti. Danışma kurulu, “Yazar kuruluşlar, grubun ve siber tekniklerin dünya çapında çeşitli endüstri sektörleri için devam eden bir tehdit olmaya devam ettiğine inanıyor” dedi.
Bu arada ABD hükümeti 10 milyon dolar ödül teklif edildi Dışişleri Bakanlığı’nın Adalet İçin Ödül programı kapsamında, kötü niyetli siber faaliyette kilit bir oyuncu olduğuna inandığı Rim Jong Hyok’un tutuklanmasına yol açacak bilgiler için. Eş zamanlı olarak, ABD Adalet Bakanlığı suçlandı Jong Hyok, NASA ve iki ABD Hava Kuvvetleri üssü de dahil olmak üzere çok sayıda ABD kuruluşuna yönelik Andariel saldırılarındaki rolüyle ilgili suçlamalarla karşı karşıya.
Andariel’in şu anki kampanyasında takip ettiği bilgiler geniş ve çeşitlidir. Savunma örgütlerinden, düşman ağır ve hafif tanklar, kundağı motorlu obüsler, savaş gemileri, otonom su altı araçları ve diğer ekipmanlarla ilgili bilgileri çalıyor. Havacılık şirketleri, savaş uçaklarından, füzelerden ve füze savunma sistemlerinden radarlara ve nano uydu teknolojisine kadar her şey hakkında bilgi için hedef alınıyor. Nükleer sektördeki örgütlere yönelik saldırıların amacı, uranyum işleme ve zenginleştirme, malzeme atığı ve depolama gibi alanlarda veri toplamaktır. Ve mühendislik firmalarında, tehdit aktörünün odak noktası gemi yapımı, robotik, katkı maddesi üretimi, 3D baskı ve diğer teknolojilerdir.
Danışmada, “Yazar kuruluşlar, kritik altyapı kuruluşlarını güvenlik açıklarına yönelik yamaları zamanında uygulamaya, web sunucularını web kabuklarından korumaya, uç noktaları kötü amaçlı faaliyetlere karşı izlemeye ve kimlik doğrulama ve uzaktan erişim korumalarını güçlendirmeye teşvik ediyor” denildi.
Tanınmış Tehdit Aktörü
Andariel birkaç yıldır aktif. Google’ın Mandiant’ındaki, grubu APT45 olarak izleyen araştırmacılar, en azından 2009’dan beri faaliyette olduğuna inanıyor. Tehdit aktörünü OnyxSleet olarak izleyen Microsoft, grubu ilk olarak 2014’te tespit ettiğini söylüyor. Yıllar içinde araştırmacılar, grubu savunma, havacılık, enerji, finansal hizmetler, ulaşım ve sağlık hizmetleri gibi bir düzineden fazla kritik sektördeki kuruluşlara yönelik çok sayıda bilgi çalma kampanyası ve yıkıcı saldırıyla ilişkilendirdi. Saldırılarının çoğu hedef Güney Koreli varlıklar.
Bir raporda ABD hükümetinin bu haftaki uyarısıyla aynı zamana denk gelen Mandiant, APT45’in son yıllarda giderek daha fazla finansal amaçlı saldırılar başlattığını gözlemlediğini söyledi – fidye yazılımı saldırıları gibi – siber casusluk misyonuna devam ederken bile. Mandiant, “APT45, Kuzey Kore’nin en uzun süredir devam eden siber operatörlerinden biri ve grubun faaliyetleri, hükümet ve savunma kuruluşlarına karşı klasik siber casusluktan sağlık ve mahsul bilimini de içerecek şekilde değişse bile rejimin jeopolitik önceliklerini yansıtıyor,” dedi.
Microsoft da bir güncelleme yayınladı Bu hafta Kuzey Koreli aktör hakkında konuştu ve Onyx Sleet aktörlerinin ilk erişimi elde etmek için bir yol olarak mızraklı kimlik avından güvenlik açıklarını kullanmaya geçtiğini gözlemledi. Ancak bunun dışında, Microsoft’un söylediğine göre, ticari tekniği büyük ölçüde değişmeden kaldı. “Onyx Sleet, uzun süreler boyunca aynı taktikleri, teknikleri ve prosedürleri (TTP’ler) kullandı ve bu da tehdit aktörünün ticari tekniğini etkili olarak gördüğünü gösteriyor.”
Güvenlik Açığı İstismarları ve Özel Araçlar
ABD hükümet danışma raporunda Andariel’in son saldırılarında hedef ağlara ilk erişimi elde etmek için çok sayıda bilinen güvenlik açığını aradığı ve kullandığı belirtiliyor. Grubun saldırılarında kullandığı güvenlik açıkları arasında Log4Shell açığı da yer alıyor (CVE-2021-44228) Apache’nin Log4j yazılımında; CVE-2023-46604Apache ActiveMQ sunucu teknolojisindeki en yüksek öneme sahip hata; CVE-2023-34362, Progress Software’in MOVEIt dosya aktarım teknolojisindeki yaygın olarak kullanılan uzaktan kod yürütme hatası; ve Fortra’nın GoAnywhere yazılımındaki benzer bir hata (CVE-2023-0669).
Ortak danışma raporunda, Andariel aktörlerinin siber casusluk kampanyasının bir parçası olarak hedef ağlara girmek için istismar ettiği 41 CVE listelendi. Bunlardan 16’sı, çeşitli satıcıların geçen yıl ifşa ettiği güvenlik açıklarıydı. Listedeki en eski kusur 2017’den kalma — CVE-2017-4946 — VMWare’in V4H ve V4PA masaüstü aracılarındaki bir ayrıcalık yükseltme hatası.
Andariel aktörleri bir ağa eriştiklerinde, uzaktan erişim sağlamak, yanal hareketi etkinleştirmek ve veri çalmak için genellikle çeşitli özel araçlar ve kötü amaçlı yazılımlar kullanırlar, tavsiyede bunlardan yaklaşık iki düzine listelenmiştir. Uyarıda, araçlar “keyfi komutları yürütme, tuş kaydı, ekran görüntüleri, dosya ve dizinleri listeleme, tarayıcı geçmişi alma, işlem dinleme, dosya oluşturma ve yazma, ağ bağlantılarını yakalama ve komuta ve kontrole içerik yükleme işlevlerini içerir” denmiştir. “Araçlar, aktörlerin kurban sistemine erişimini sürdürmesini sağlar ve her implantın belirlenmiş bir C2 düğümü vardır.”
Danışma notu, Andariel aktörlerinin son saldırılarda kullandığı diğer taktikleri, teknikleri ve prosedürleri ayrıntılı olarak açıklıyor, böylece grubun hedefindeki kuruluşlar koruyucu önlemler alabilir. Ayrıca kuruluşların ağlarında ve sistemlerinde tehdit aktörünün varlığına dair işaretleri kontrol etmek için kullanabilecekleri uzlaşma göstergeleri de sağlıyor.