Kuzey Kore’den Gelen Tehditler Neden Artıyor?
Bu tehditler hangi yöntemlerle gerçekleşiyor?
Kuzey Koreli siber suçluların kullandığı yazılımlar ne tür yeteneklere sahip?
Görev başındaki siber güvenlik uzmanları bu tehditlere nasıl yanıt veriyor?
Kuzey Koreli Tehdit Aktörleri ve Yeni Siber Saldırı Yöntemleri
Kuzey Kore’nin siber tehdit aktörleri son dönemlerde, özellikle Contagious Interview kampanyası ile dikkat çekici yeni yöntemler geliştirmiştir. Bu kampanya çerçevesinde OtterCookie adlı çok platformlu bir zararlı yazılım güncellenmiş sürümleriyle karşımıza çıkıyor. Bu yazılım, web tarayıcılarından kimlik bilgilerini çalma yeteneğine sahip olmasıyla ön plana çıkıyor. NTT Security Holdings’in ortaya koyduğu bulgulara göre, saldırganlar bu zararlı yazılımı aktif bir şekilde güncelleyerek, v3 ve v4 sürümlerini sırasıyla Şubat ve Nisan 2025’te piyasaya sürmüşlerdir.
Kuzey Koreli hacker grubu, WaterPlum olarak bilinen bu tehdit kümesini izlemekte; bu grup ayrıca CL-STA-0240, DeceptiveDevelopment, DEV#POPPER, Famous Chollima, PurpleBravo ve Tenacious Pungsan gibi isimlerle de anılmaktadır. OtterCookie, ilk kez NTT tarafından Eylül 2024’te düzenlenen saldırılarda tespit edilmiştir. Bu zararlı yazılım, sahte npm paketleri, trojanize edilmiş GitHub veya Bitbucket depoları veya sahte bir video konferans uygulaması aracılığıyla yüklenmektedir.
OtterCookie’nin Yeni Modülleri ve Özellikleri
OtterCookie v3, tanımlı uzantılara sahip dosyaları bir harici sunucuya göndermeye yarayan yeni bir yükleme modülü ile donatılmıştır. Bu modül, çevresel değişkenler, görüntüler, belgeler ve kripto para cüzdanları ile ilişkili kurtarma ifadelerini içeren dosyaları hedef alır. Dulunatta, bu modülün daha önceki sürümlerde, yani OtterCookie v2’de, bir kabuk komutu olarak sunulduğunu belirtmek önemlidir.
Zararlı yazılımın dördüncü sürümü, önceki sürümdeki özellikleri genişleterek, Google Chrome kimlik bilgilerini çalma ve MetaMask uzantısından veri çıkarma gibi yeni modüller eklemiştir. Ek olarak, OtterCookie v4, sanal makine (VM) ortamlarında çalışıp çalışmadığını tespit etme yeteneğine de sahiptir. Broadcom VMware, Oracle VirtualBox, Microsoft ve QEMU gibi platformları hedef alması dikkat çekmektedir.
Kuzey Koreli Siber Suçluların Yöntemleri
Kuzey Koreli siber suçlular, işyerine girdiklerinde kimlik hırsızlığı ve veri hırsızlığı ile siber casusluk faaliyetlerini bir arada yürütmektedir. Bu suçlular, kurumsal ortamlarda genellikle mouse jiggler yazılımları, VPN yazılımları ve uzak erişim için KVM kullanmaktadırlar. Özellikle Zoom üzerinden yapılan uzun görüşmeler, güvenlik önlemlerini aşmak için sıklıkla kullanılmaktadır.
Örneğin, Kraken kripto para borsası, mühendislik pozisyonu için yapılan bir iş görüşmesinin sahte bir hacker girişimiyle sonuçlandığını bildirmiştir. Adayın, yerini gizlemek için bir VPN kullanarak sisteme erişim sağladığı belirtilmiştir. Görüşme sürecinin sonunda, adayın kimliğinin sahte olduğu ortaya çıkmıştır.
Devlet Desteği ve Küresel Tehditler
Lazarus Group adıyla bilinen bu siber suç örgütü, Kuzey Kore devleti tarafından desteklenen, geçmişi dolu çıkarcı saldırılarla dolu bir gruptur. Saldırıları, finansal kazançların yanı sıra, stratejik hedeflere ulaşmak için de yönlendirilmiştir. Bybit gibi kripto para platformlarından yapılan milyar dolarlık soygunlar, grubun etkisini gözler önüne sermektedir.
Kuzey Kore, uluslararası yaptırımları aşmak amacıyla düzenlenen siber saldırılarda giderek dikkati üzerine çekmektedir. Ülkedeki işgücü, laptop farm olarak adlandırılan yerlerden dünya çapında şirketlere sızma konusunda oldukça organize bir yapıya sahiptir. Çeşitli güvenlik uzmanları, siber güvenlik önlemlerini güçlendirmek adına işverenleri uyararak, kimlik doğrulama süreçlerinin sıkılaştırılması gerektiğini vurgulamaktadır.
Siber Güvenlik Uzmanlarının Cevapları ve Öneriler
Siber güvenlik uzmanları, bu tür tehditlerle başa çıkmak için sürekli olarak gelişen teknolojilere ayak uydurmaktadır. Sophos, işletmeleri, North Korean IT workers tehditlerine karşı daha fazla tedbir almaları yönünde uyarmaktadır. Bunun yanı sıra, insan kaynakları departmanlarının bu tür sahtecilik taktiklerine karşı bilinçlendirilmesi gerektiği de belirtilmektedir.
Özellikle insan kaynakları ekipleri, şüpheli davranışları hızlı bir şekilde tespit edebilmek için düzenli eğitimler almalıdır. Ayrıca, kullanılan sahte yazılımlar ve sistem başvuruları üzerinde sürekli gözlem yapılması önerilmektedir.
Uzun vadede, organizasyonlar; geleneksel iç tehdit faaliyetleri, şüpheli meşru araçların kullanımı ve imkansız seyahat uyarılarına karşı dikkatli olmalıdır. Bu önlemler, Kuzey Koreli aktörlerin siber saldırılarını azaltmak açısından hayati önem taşımaktadır.
Kuzey Koreli siber tehditler, hızla değişen bir ortamda varlık gösterirken, teknoloji şirketlerinin bu mücadelede dikkatli ve sürekli yenilikçi olmaları gerekmektedir. Bu yazının, siber güvenlik alanındaki farkındalığı artırma ve Kuzey Koreli tehditlere karşı bilinçli olma amacına hizmet etmesi ümit edilmektedir.
