Lazarus Grubu’nun Güney Kore Üzerinden Gerçekleştirdiği Saldırılar Nedir?
Operation SyncHole nedir?
Lazarus Grubu’nun hedefleri kimlerdir?
Saldırının teknik yönleri nelerdir?
Lazarus Grubu’nun kullandığı yazılımlar nelerdir?
Saldırının sonuçları neler olabilir?
Operation SyncHole nedir?
Operation SyncHole, Kuzey Kore ile bağlantılı Lazarus Grubu tarafından yürütülen ve Güney Kore’de farklı sektörleri hedef alan bir siber saldırı kampanyasıdır. Bu kampanya, Kaspersky’nin raporuna göre, yazılım, IT, finans, yarı iletken üretimi ve telekomünikasyon gibi alanları hedef almıştır. İlk tehlike sinyali 2024 Kasım ayında tespit edilmiştir. Bu operasyon, sofistike bir sulama deliği (watering hole) stratejisi ve Güney Kore yazılımlarındaki güvenlik açıklarının istismarını bir araya getiren bir yapıdadır.
Lazarus Grubu’nun hedefleri kimlerdir?
Lazarus Grubu, özellikle Güney Kore’nin önde gelen yazılım ve teknoloji şirketlerini, finans kurumlarını ve yarı iletken devre üreticilerini hedef almıştır. Bunun yanı sıra, telekomünikasyon sektörü de saldırıların kapsamındadır. Grubun hedefleri genellikle yüksek değerli bilgiler barındıran kuruluşlardır. Yapılan saldırılar, sadece bireysel şirketleri değil, aynı zamanda ülkelerin ekonomik ve güvenlik yapısını da etkileyebilecek potansiyele sahiptir.
Saldırının teknik yönleri nelerdir?
Saldırıların teknik açıdan etkili olmasının temel sebebi, güvenlik yazılımlarını desteklemek için yaygın olarak kullanılan Cross EX gibi meşru yazılımlardaki güvenlik açıklarını istismar etmeleridir. Bu tür yazılımlar, çevrimiçi bankacılık ve devlet web siteleri için kullanılır. Lazarus Grubu, bu tür yazılımlardaki açıkları kullanarak, hedeflerin bilgisayarlarına kötü amaçlı yazılımlar yerleştirmekte ve böylece saldırılarını gerçekleştirmektedir.
Hedeflerde yürütülen sulama deliği saldırıları, kullanıcıların Güney Kore’deki çeşitli çevrimiçi medya sitelerini ziyaret etmesinin ardından başlamaktadır. Ziyaretçiler, kötü niyetli bir alan adına yönlendirilmeden önce bir sunucu tarafı betiği ile filtrelenmektedir. Saldırı, ayrıca güvenlik yazılımlarını etkileyen bir güncellemeyi de içerir.
Lazarus Grubu’nun kullandığı yazılımlar nelerdir?
Lazarus Grubu, saldırılarında birçok farklı kötü amaçlı yazılımı kullanmaktadır. Bu yazılımlar arasında ThreatNeedle, SIGNBT, COPPERHEDGE ve wAgent gibi bilinen araçlar yer almaktadır. Bunun yanında, Agamemnon adı verilen bir indiricinin kullanılması, ek kötü amaçlı yazılımların indirilmesi için de kullanılmaktadır. Saldırıların daha sonraki aşamalarında da, hedeflerin bilgisayarlarına kalıcılık sağlamak için kullanılan başka yazılımlar devreye girmektedir.
Lazarus Grubu’nun bu kampanyada kullandığı Innorix Agent gibi yazılımlardaki güvenlik açıkları, saldırganların kurban sistemlerinde hareket etmesine ve daha fazla kötü amaçlı yazılım yüklemesine olanak tanımıştır.
Saldırının sonuçları neler olabilir?
Lazarus Grubu’nun bu tür özelleşmiş saldırılarının, Güney Kore’deki tedarik zincirleri üzerinde ciddi etkileri olabileceği düşünülmektedir. Saldırı sonrası hedeflerin bilgi güvenliği zaaflarının ortaya çıkması, ekonomik kayıplara ve itibara zarar vermeye yol açabilecektir. Ayrıca, bu saldırılar, bu tür tehditlere karşı olan ulusal güvenlik politikalarının sorgulanmasına ve yeniden gözden geçirilmesine neden olabilir.
Gelecek tahminleri, Lazarus Grubu’nun Güney Kore’ye yönelik saldırılarına devam edeceği yönündedir. Bu tür gruplar, özellikle yeni kötü amaçlı yazılımlar geliştirme ve mevcut yazılımları geliştirme yönünde çaba göstermektedir. Bu şekilde, algıdan kaçmakta ve siber güvenlik çözümlerini aşabilmektedirler.
Sonuç olarak, Lazarus Grubu’nun Güney Kore’ye yönelik siber saldırıları, sadece bölgesel bir tehdit değil, aynı zamanda küresel bilgi güvenliği için önemli bir endişe kaynağıdır. Özellikle, giderek daha sofistike hale gelen saldırı yöntemleri, siber güvenlik uzmanları ve devletler için yeni zorluklar ortaya çıkarmaktadır.
