Siber güvenlik araştırmacıları, dolandırıcı BT çalışanı planları ile 2016’daki kitlesel fonlama dolandırıcılığının ardındaki Kuzey Koreli tehdit aktörleri arasındaki altyapı bağlantılarını tespit etti.
SecureWorks Karşı Tehdit Birimi (CTU), yeni kanıtların Pyongyang merkezli tehdit gruplarının BT çalışanlarının kullanımından önce yasa dışı para kazanma dolandırıcılığı gerçekleştirmiş olabileceğini gösterdiğini söyledi. rapor The Hacker News ile paylaşıldı.
2023’ün sonlarında ortaya çıkan BT çalışanı dolandırıcılık planı Kuzey Koreli aktörleri içeriyor şirketlere sızmak Yaptırımların vurduğu ülkeye gelir sağlamak için Batı’da ve dünyanın diğer yerlerinde sahte kimlikler altında gizlice iş arayarak. Ayrıca Famous Chollima, Nickel Tapestry, UNC5267 ve Wagemole isimleri altında da takip ediliyor.
Güney Kore Dışişleri Bakanlığı’na (MoFA) göre BT personelinin, Kore İşçi Partisi’nin Mühimmat Sanayi Dairesi’ne bağlı bir kuruluş olan 313. Genel Büro’nun parçası olduğu değerlendirildi.
Bu operasyonların bir diğer dikkat çekici yönü de BT çalışanlarının, her ikisi de daha önce maruz kalınan Yanbian Silverstar ve Volasys Silver Star gibi paravan şirketlerde çalışmak üzere rutin olarak Çin ve Rusya’ya gönderilmesidir. yaptırımlar Eylül 2018’de ABD Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından.
Her iki kuruluş da, Hermit Krallığı veya Kore İşçi Partisi için gelir elde etmek amacıyla Kuzey Kore’den işçi ihracatına katılmak ve bunu kolaylaştırmak, aynı zamanda da işçilerin gerçek uyruğunu müşterilerin gözünden gizlemekle suçlanıyor.
Yanbian Silverstar’ın Kuzey Koreli CEO’su Jong Song Hwa’ya da “Çin ve Rusya’daki çeşitli geliştirici ekiplerinin kazanç akışını” kontrol etmedeki rolü nedeniyle yaptırımlar uygulandı.
Ekim 2023’te ABD hükümeti, Kuzey Koreli BT çalışanlarının çevrimiçi başvuru yaparken gerçek kimliklerini ve konumlarını gizlemelerine izin vererek ülke içindeki ve yurt dışındaki işletmeleri dolandırmak amacıyla ABD merkezli BT hizmetleri şirketlerini taklit eden 17 internet alan adının ele geçirildiğini duyurdu. serbest çalışma.
El konulan alan adları arasında “silverstarchina” adlı bir web sitesi de vardı[.]Secureworks’ün geçmiş WHOIS kayıtları analizi, tescil ettiren kişinin sokak adresinin, Yanbian vilayetinde bulunan Yanbian Silverstar ofislerinin bildirilen konumlarıyla eşleştiğini ve aynı tescil ettiren e-posta adresinin ve sokak adresinin diğer alan adlarını kaydetmek için kullanıldığını ortaya çıkardı.
Söz konusu alanlardan biri de kratosmemory[.]Daha önce 2016’da IndieGoGo kitlesel fonlama kampanyasıyla bağlantılı olarak kullanılmış olan bu kampanyanın daha sonra destekçilerin satıcıdan ne ürün ne de para iadesi alamamasının ardından dolandırıcılık olduğu ortaya çıktı. Kampanyanın 193 destekçisi vardı ve 21.877 dolar tutarında fon topladı.
Siteye yapılan yorumlardan biri “Bu kampanyaya bağış yapanlar kendilerine vaat edilen hiçbir şeyi alamadılar.” kitlesel fonlama sayfa iddialar. “Onlara da herhangi bir güncelleme gelmedi. Bu tam bir dolandırıcılıktı.”
Siber güvenlik şirketi ayrıca kratosmemory için WHOIS tescil ettiren bilgilerinin de bulunduğunu belirtti.[.]com, Dan Moulding adlı farklı bir kişiliği yansıtacak şekilde 2016 ortalarında güncellendi. IndieGoGo kullanıcı profili Kratos dolandırıcılığı için.
Secureworks, “Bu 2016 kampanyası, bu yayın itibarıyla aktif olan daha ayrıntılı Kuzey Kore BT işçi programlarıyla karşılaştırıldığında, düşük çaba gerektiren, küçük parasal getiri sağlayan bir çabaydı” dedi. “Ancak bu, Kuzey Koreli tehdit aktörlerinin çeşitli para kazanma planlarını denediği eski bir örneği gösteriyor.”
Gelişme, Japonya, Güney Kore ve ABD’nin blockchain teknolojisi endüstrisine, Kore Demokratik Halk Cumhuriyeti (DPRK) siber aktörleri tarafından kripto para birimi soygunları gerçekleştirmek üzere sektördeki çeşitli kuruluşların sürekli olarak hedef alınmasına ilişkin ortak bir uyarı yayınlamasıyla ortaya çıktı.
“Lazarus Grubu da dahil olmak üzere Kuzey Kore’ye bağlı gelişmiş kalıcı tehdit grupları, […] Hükümetler, kripto para birimini çalmak için çok sayıda siber suç kampanyası yürüterek ve borsaları, dijital varlık saklayıcılarını ve bireysel kullanıcıları hedef alarak siber uzayda kötü niyetli davranış modeli sergilemeye devam edeceklerini belirtti. söz konusu.
Yalnızca 2024 yılında hedeflenen şirketlerden bazıları DMM Bitcoin’i içeriyordu. ArtışRain Management, WazirX ve Radiant Capital’in çalınması, 659 milyon dolardan fazla kripto paranın çalınmasına yol açtı. Duyuru, Hindistan’ın en büyük kripto para borsası WazirX’in hacklenmesinin arkasında Kuzey Kore’nin olduğunun ilk resmi onayını işaret ediyor.
WazirX’in kurucusu Nischal Shetty, “Bu kritik bir an. Çalınan varlıkların kurtarılması için hızlı uluslararası eylem ve destek çağrısında bulunuyoruz.” gönderildi X hakkında. “Emin olun, adalet arayışımızda çevrilmemiş taş bırakmayacağız.”
Geçen ay, blockchain istihbarat firması Chainaliz, Kuzey Kore’ye bağlı tehdit aktörlerinin 2024’te 47 kripto para birimi saldırısında 1,34 milyar dolar çaldığını ortaya çıkardı; bu rakam 2023’teki 20 olayda 660,50 milyon dolardı.
