Geçen hafta, Kuzey Koreli bir bilgisayar korsanlığı grubunun ABD merkezli kurumsal yazılım şirketi JumpCloud’u ihlal ettiği ve ardından bunu, para çalma amacıyla kimliği belirsiz sayıda kripto para birimi şirketine daha fazla sızmak için bir sıçrama tahtası olarak kullandığı bildirildi. Güvenlik araştırmacıları, izinsiz girişin arkasında Kuzey Koreli bilgisayar korsanları olduğundan emin olmalarının nedenini şimdi sıraladılar.
Araştırmacılar, bilgisayar korsanlarının yasa dışı bir şekilde sistemlere girerken hata yaptığını söyledi. JumpCloud’un etkilenen müşterilerinden birine yardım eden bir siber güvenlik şirketi ve Google’ın bir yan kuruluşu olan Mandiant’a göre, bilgisayar korsanlarının Kuzey Kore’nin Genel Keşif Bürosu veya RGB için çalıştıklarını iddia etti.
RGB’nin kripto para şirketlerini hedef aldığı ve nükleer silah programlarını finanse etmek için kripto hırsızlıkları yapmak için şifreleri çaldığı söyleniyor.
Bir blogda “Mandiant, bu izinsiz girişleri, Kore Demokratik Halk Cumhuriyeti (DPRK)-nexus aktörü olan ve kripto para dikeyindeki şirketleri hedefleme geçmişi olan UNC4899’a bağladı” dedi.
Hackerlar nasıl bir hata yaptılar?
Mandiant, bilgisayar korsanlarının yakalanmamak için konumlarını ve IP adreslerini gizlemek için VPN kullandığını kaydetti. Ancak, Kuzey Koreli bilgisayar korsanlığı birimi yanlışlıkla IP adreslerini ifşa etti. Bunun nedeni, “birçok durumda” VPN’lerin çalışmaması veya bilgisayar korsanlarının kurbanın ağına erişirken bunları kullanmamasıdır.
Bu operasyonel hata, erişimlerini açığa çıkardı ve siber güvenlik şirketi, tehdit aktörünün doğrudan bir Pyongyang IP’sinde oturum açtığını gözlemledi.
“Ayrıca Mandiant, bir PTR kaydının önceki bir işlemden hiçbir zaman değiştirilmemesi nedeniyle ek altyapıyı ortaya çıkarabildi. Mandiant daha önce wasxxv alan adını belirlemişti.[.]site Kuzey Koreli tehdit aktörleri tarafından kullanılıyor” denildi.
Daha önce, siber güvenlik firması CrowdStrike Holdings ve siber güvenlik araştırmacısı Tom Hegel, JumpCloud saldırısının yazılımları hacklemede ustalaşmış Kuzey Koreli bilgisayar korsanları tarafından yapıldığını da söylemişti.
FacebooktwitterLinkedin
makalenin sonu
