Güvenlik araştırmacılarına göre, bir risk sermayedarı, büyük bir şirketten işe alım görevlisi ve yeni işe alınan uzak bir BT çalışanının pek fazla ortak noktası yokmuş gibi görünebilir, ancak hepsi Kuzey Kore rejimi için gizlice çalışan sahtekarlar olarak yakalandı.
Cuma günü, Washington DC’de siber uzaydaki yıkıcı tehditlere odaklanan yıllık bir konferans olan Cyberwarcon’da, güvenlik araştırmacıları Kuzey Kore’den gelen tehdide ilişkin en güncel değerlendirmelerini sundular. Araştırmacılar, ülkedeki bilgisayar korsanlarının, Kuzey Kore rejimi için para kazanmak ve silah programına fayda sağlayacak kurumsal sırları çalmak amacıyla çok uluslu şirketlerde iş arayan potansiyel çalışanlar gibi görünmeye yönelik sürekli bir girişimde bulundukları konusunda uyardı. Bu sahtekarlar, son on yılda ülkenin nükleer silah programını finanse etmek için milyarlarca dolar çalıntı kripto para birimi elde ederek bir dizi uluslararası yaptırımdan kaçtı.
Microsoft güvenlik araştırmacısı James Elliott, bir Cyberwarcon konuşmasında, Kuzey Koreli BT çalışanlarının sahte kimlikler yaratarak dünya çapında “yüzlerce” kuruluşa sızdığını, bu arada şirket tarafından verilen iş istasyonlarını ve kazançlarını idare etmek için ABD merkezli kolaylaştırıcılara bel bağladıklarını söyledi. Kuzey Korelilere uygulanan mali yaptırımlar.
Ülkenin siber yeteneklerini araştıran araştırmacılar, bugün Kuzey Kore’den gelen artan tehdidi, farklı taktik ve tekniklere sahip, ancak ortak hedefi kripto para hırsızlığı olan, farklı bilgisayar korsanlığı gruplarından oluşan belirsiz bir kitle olarak görüyor. Rejim, saldırıları nedeniyle çok az riskle karşı karşıya; ülke zaten yaptırımlarla kuşatılmış durumda.
Microsoft’un “Ruby Sleet” adını verdiği bir grup Kuzey Koreli bilgisayar korsanı tehlikeye atılan havacılık ve savunma şirketleri silahlarını ve navigasyon sistemlerini daha da geliştirmeye yardımcı olabilecek endüstri sırlarını çalmak amacıyla.
Microsoft ayrıntılı bir blog yazısında Bireylerden ve şirketlerden kripto para birimini çalmayı amaçlayan kampanyalarda işe alım uzmanı ve risk sermayedarı kılığına giren, “Sapphire Sleet” adını verdiği başka bir Kuzey Koreli hacker grubu. Kuzey Koreli bilgisayar korsanları, hedefleriyle bir tuzakla veya ilk yardımla iletişime geçtikten sonra sanal bir toplantı ayarlıyorlardı, ancak toplantı aslında uygunsuz bir şekilde yüklenecek şekilde tasarlanmıştı.
Sahte VC senaryosunda, sahtekar daha sonra kurbana, bozulan sanal toplantıyı düzeltmeye yönelik bir araç olarak gizlenen kötü amaçlı yazılımları indirmesi için baskı yapacaktır. Sahte işe alım kampanyasında sahtekar, potansiyel adaydan aslında kötü amaçlı yazılım içeren bir beceri değerlendirmesini indirip tamamlamasını istiyordu. Kötü amaçlı yazılım yüklendikten sonra, kripto para cüzdanları da dahil olmak üzere bilgisayardaki diğer materyallere erişebilir. Microsoft, bilgisayar korsanlarının yalnızca altı aylık bir süre içinde en az 10 milyon dolarlık kripto para birimi çaldığını söyledi.
Ancak şu ana kadar mücadele edilmesi en ısrarcı ve zorlu kampanya, Kuzey Koreli bilgisayar korsanlarının, Kovid-19 salgını sırasında başlayan uzaktan çalışma patlamasını destekleyerek büyük şirketlerde uzaktan çalışan olarak işe alınma çabalarıdır.
Microsoft, Kuzey Kore’nin BT çalışanlarını, aldatıcı bir şekilde büyük şirketlerde iş bulma ve Kuzey Kore rejimi için para kazanma, aynı zamanda şirket sırlarını ve fikri mülkiyet haklarını çalma ve ardından şirkete bilgileri ifşa etme tehditleriyle şantaj yapma yetenekleri nedeniyle “üçlü tehdit” olarak nitelendirdi. bilgi.
Yanlışlıkla Kuzey Koreli bir casusu işe alan yüzlerce şirketten yalnızca bir avuç şirket kurban olarak açıkça ortaya çıktı. Güvenlik şirketi KnowBe4 şunları söyledi: Bu yılın başında Kuzey Koreli bir çalışanı işe almak için kandırılmıştıancak şirket, kopyalandığını anlayınca çalışanın uzaktan erişimini engelledi ve hiçbir şirket verisinin alınmadığını söyledi.
Kuzey Koreli BT çalışanları şirketleri kendilerini işe alma konusunda nasıl kandırıyor?
Tipik bir Kuzey Kore BT çalışanı kampanyası, profesyonel bir güvenilirlik düzeyi oluşturmak için LinkedIn profili ve GitHub sayfası gibi bir dizi çevrimiçi hesap oluşturur. BT çalışanı, yüz değiştirme ve ses değiştirme teknolojileri de dahil olmak üzere yapay zekayı kullanarak sahte kimlikler oluşturabilir.
Şirket, işe alındıktan sonra çalışanın yeni dizüstü bilgisayarını, şirketin haberi olmadan, şirket tarafından verilen dizüstü bilgisayarlardan oluşan çiftlikler kurmakla görevli bir kolaylaştırıcı tarafından yönetilen Amerika Birleşik Devletleri’ndeki bir ev adresine gönderiyor. Kolaylaştırıcı ayrıca dizüstü bilgisayarlara uzaktan erişim yazılımı yükleyerek dünyanın diğer ucundaki Kuzey Koreli casusların gerçek konumlarını açıklamadan uzaktan oturum açmalarına olanak tanır.
Microsoft, ülkenin casuslarının yalnızca Kuzey Kore’de değil, aynı zamanda ayrılıkçı ülkenin iki yakın müttefiki olan Rusya ve Çin’de de faaliyet gösterdiğini gözlemlediğini, bunun da şirketlerin ağlarındaki şüpheli Kuzey Kore casuslarını tespit etmesini zorlaştırdığını söyledi.
Microsoft’tan Elliott, Kuzey Koreli bir BT çalışanına ait olan ve sahte kimlik dosyaları ve Kuzey Koreli BT çalışanlarının hazırladığı özgeçmişler de dahil olmak üzere kampanyayı ayrıntılı olarak açıklayan elektronik tablolar ve belgeler içeren kamuya açık bir veri deposunun yanlışlıkla eline geçmesiyle şirketin şanslı bir fırsat yakaladığını söyledi. işe almak için kullanıyorlardı ve operasyon sırasında kazanılan para miktarı. Elliott, depoların bilgisayar korsanlarının kimlik hırsızlığı yapması için “tüm taktik kitaplarına” sahip olduğunu belirtti.
Kuzey Koreliler ayrıca, hesaplara daha fazla meşruiyet algısı kazandırmak için sahte kimlikli LinkedIn hesaplarını şirket e-posta adresi alır almaz doğrulamak gibi sahte olduklarını ortaya çıkarabilecek hileler de kullanacaklardı.
Bu, araştırmacıların bilgisayar korsanlarının operasyonlarının gerçek doğasını ortaya çıkarmaya yardımcı olan dikkatsizliğine ilişkin verdikleri tek örnek değildi.
Hoi Myong ve SttyK adını kullanan bir araştırmacı, şüpheli Kuzey Koreli BT çalışanlarını kısmen, her zaman dikkatli bir şekilde oluşturulmayan sahte kimliklerindeki boşlukları ortaya çıkarmak için onlarla iletişime geçerek tespit ettiklerini söyledi.
Myong ve SttyK, Cyberwarcon konuşmalarında, Japon olduğunu iddia eden ancak mesajlarında Japonca’da bulunmayan kelime veya ifadeler kullanmak gibi dilsel hatalar yapan şüpheli bir Kuzey Koreli BT çalışanıyla konuştuklarını söyledi. BT çalışanının kimliğinde, Çin’de bir banka hesabına sahip olduğunu iddia ederken, kişinin Rusya’da konumunu belirleyen bir IP adresine sahip olmak gibi başka kusurlar da vardı.
ABD hükümeti, BT çalışanlarının planına yanıt olarak son yıllarda Kuzey Kore bağlantılı kuruluşlara karşı zaten yaptırımlar uyguluyordu. FBI ayrıca, kötü niyetli aktörlerin teknoloji işleri bulmak için sıklıkla yapay zeka tarafından oluşturulan görüntüleri veya çoğunlukla çalıntı kimliklerden elde edilen “derin sahtekarlıkları” kullandığı konusunda da uyardı. 2024’te ABD savcıları aleyhine suçlamalarda bulundu birden fazla birey ile dizüstü bilgisayar çiftliklerini işletmek yaptırımların uygulanmasını kolaylaştırıyor.
Ancak araştırmacılar, şirketlerin aynı zamanda olası çalışanlarını da daha iyi incelemeleri gerektiğini ileri sürdü.
Elliott, “Bir yere gitmiyorlar” dedi. “Uzun bir süre burada kalacaklar.”
