Konuya aşina iki kaynağa göre, Kuzey Kore hükümeti destekli bir bilgisayar korsanlığı grubu, bir Amerikan BT yönetim şirketine sızdı ve bunu bilinmeyen sayıda kripto para birimi şirketini hedeflemek için bir sıçrama tahtası olarak kullandı.
Kaynaklar, bilgisayar korsanlarının Haziran ayı sonunda Louisville, Colorado merkezli JumpCloud’a girdiğini ve dijital parayı çalmak amacıyla kripto para şirketi müşterilerini hedef almak için şirketin sistemlerine erişimlerini kullandıklarını söyledi.
Hack, bir zamanlar kripto şirketlerinin peşine düşmekle yetinen Kuzey Koreli siber casusların, şimdi kendilerine birden fazla bitcoin ve diğer dijital para birimi kaynaklarına erişim sağlayabilen şirketlerle nasıl mücadele ettiğini gösteriyor.
Geçen hafta bir blog gönderisinde hack’i kabul eden ve “ulus devlet destekli sofistike bir tehdit aktörünü” suçlayan JumpCloud, Reuters’in hack’in arkasında kimin olduğu ve hangi istemcilerin etkilendiği hakkındaki sorularını yanıtlamadı. Reuters, saldırı sonucunda herhangi bir dijital para biriminin çalınıp çalınmadığını tespit edemedi.
İhlalin araştırılması için JumpCloud ile çalışan siber güvenlik firması CrowdStrike Holdings, ihlalin arkasında Kuzey Koreli bilgisayar korsanlarından oluşan belirli bir birliğe verdiği isim olan Labyrinth Chollima’nın olduğunu doğruladı.
CrowdStrike İstihbarattan Sorumlu Kıdemli Başkan Yardımcısı Adam Meyers, bilgisayar korsanlarının ne aradıkları hakkında yorum yapmaktan kaçındı, ancak kripto para birimi hedeflerini hedefleme geçmişlerine sahip olduklarını kaydetti.
Birincil hedeflerinden biri rejim için gelir elde etmektir” dedi.
Pyongyang’ın New York’taki Birleşmiş Milletler misyonu, yorum talebine hemen yanıt vermedi. Kuzey Kore daha önce, aksi yöndeki BM raporları da dahil olmak üzere çok sayıda kanıta rağmen, dijital para soygunları organize etmeyi reddetmişti.
Bağımsız araştırma, CrowdStrike’ın iddiasını destekledi.
Soruşturmada yer almayan siber güvenlik araştırmacısı Tom Hegel, Reuters’e JumpCloud saldırısının, Kuzey Korelilerin “tedarik zinciri saldırılarında” nasıl ustalaştıklarını veya alt kullanıcılardan veri (veya para) çalmak için yazılım veya hizmet sağlayıcıları tehlikeye atarak çalışan ayrıntılı bilgisayar korsanlıklarını gösteren birkaç son ihlalin en sonuncusu olduğunu söyledi.
ABD’li SentinelOne firması için çalışan Hegel, “Bence Kuzey Kore oyununu gerçekten hızlandırıyor” dedi.
Perşembe günü yayınlanacak bir blog gönderisinde Hegel, JumpCloud tarafından yayınlanan dijital göstergelerin bilgisayar korsanlarını daha önce Kuzey Kore’ye atfedilen faaliyetlere bağladığını söyledi.
ABD siber izleme kurumu CISA ve FBI yorum yapmaktan kaçındı.
Ürünleri ağ yöneticilerinin cihazları ve sunucuları yönetmesine yardımcı olmak için kullanılan JumpCloud’a yönelik saldırı, ilk olarak bu ayın başlarında, şirketin müşterilere kimlik bilgilerinin “devam eden bir olayla ilgili çok fazla dikkat nedeniyle” değiştirileceğini bildiren bir e-posta göndermesiyle ortaya çıktı.
JumpCloud, olayın bir hack olduğunu kabul eden blog yazısında, izinsiz girişin izini 27 Haziran’a kadar sürdü. Bu hafta başlarında siber güvenlik odaklı podcast Risky Business, iki kaynağın izinsiz girişte Kuzey Kore’nin şüpheli olduğunu söylediğini aktardı.
Labyrinth Chollima, Kuzey Kore’nin en üretken bilgisayar korsanlığı gruplarından biridir ve izole edilmiş ülkenin en cüretkar ve yıkıcı siber saldırılarından bazılarından sorumlu olduğu söyleniyor. Kripto para hırsızlığı, göz yaşartan meblağların kaybına yol açtı: Blockchain analitik şirketi Chainalysis, geçen yıl Kuzey Kore bağlantılı grupların birden fazla hack yoluyla tahmini 1,7 milyar dolar (yaklaşık 13.900 crore) değerinde dijital nakit çaldığını söyledi.
CrowdStrike’tan Meyers, Pyongyang’ın bilgisayar korsanlığı ekiplerinin hafife alınmaması gerektiğini söyledi.
“Bunun, bu yıl Kuzey Kore’nin tedarik zinciri saldırılarını göreceğimiz son saldırı olacağını sanmıyorum” dedi.
© Thomson Reuters 2023
