Kuzey Kore’nin önde gelen gelişmiş kalıcı tehditleri (APT’ler), en az bir buçuk yıldır Güney Koreli savunma müteahhitlerini sessizce gözetliyor ve yaklaşık 10 kuruluşa sızıyor.
Güney Kore polisi bu hafta serbest bırakıldı bir soruşturmanın bulguları tarafından yürütülen eş zamanlı casusluk kampanyalarını ortaya çıkardı. Andariel (diğer adıyla Onyx Sleet, Sessiz Chollima, Plütonyum), Kimsuki (aka APT 43, Talyum, Kadife Chollima, Black Banshee) ve daha geniş Lazarus Grubu. Kolluk kuvvetleri mağdur savunma kuruluşlarının isimlerini vermedi ve çalınan verilerle ilgili ayrıntılı bilgi vermedi.
Duyuru, Kuzey Kore’nin saldırısını gerçekleştirmesinden bir gün sonra geldi. Nükleer karşı saldırıyı simüle eden ilk tatbikat.
Kuzey Kore APT’leri Devam Ediyor
Yabancı ulus devletlerden gelen siber tehditlerin Güney Kore kadar farkında olan çok az ülke var ve askeri ve savunma sektörü kadar bilinçli olan sektör sayısı da az. Ve yine de Kim’in en iyisi her zaman bir yol buluyor gibi görünüyor.
Menlo Security’nin siber güvenlik uzmanı Bay Ngoc Bui, “APT tehditlerinin, özellikle de devlet düzeyindeki aktörlerin yönlendirdiği tehditlerin tamamen caydırılmasının oldukça zor olduğu biliniyor” diye yakınıyor. “Eğer bir APT veya aktör yüksek motivasyona sahipse, sonunda aşılamayacak çok az engel vardır.”
Örneğin Kasım 2022’de Lazarus, ayrı iç ve dış ağları işletebilecek kadar siber farkındalığa sahip bir yükleniciyi hedef aldı. Ancak bilgisayar korsanları, ikisini birbirine bağlayan sistemi yönetme konusundaki ihmallerinden yararlandı. İlk olarak, bilgisayar korsanları harici bir ağ sunucusuna saldırdı ve bu sunucuya virüs bulaştırdı. Savunmalar bir ağ testi için kapalıyken, ağ bağlantı sistemi üzerinden iç kısımlara doğru tünel kazdılar. Daha sonra altı çalışan bilgisayarından “önemli verileri” toplamaya ve sızdırmaya başladılar.
Ekim 2022 civarında başlayan başka bir vakada Andariel, söz konusu savunma yüklenicilerinden biri için uzaktan BT bakımı gerçekleştiren bir şirketin çalışanına ait giriş bilgilerini ele geçirdi. Ele geçirilen hesabı kullanarak şirketin sunucularına kötü amaçlı yazılım bulaştırdı ve savunma teknolojileriyle ilgili verileri sızdırdı.
Polis ayrıca, Kimsuky’nin bir savunma firmasının ortak şirketi tarafından kullanılan grup yazılımı e-posta sunucusundan yararlandığı, Nisan’dan Temmuz 2023’e kadar süren bir olayı da vurguladı. Bir güvenlik açığı, yetkisiz saldırganların dahili olarak e-posta yoluyla gönderilen büyük dosyaları indirmesine olanak tanıdı.
Lazarus’u Öldürmek
Bui, yetkililerin işine yarayacak bir şeyin şu olduğunu açıklıyor: “Lazarus gibi Kuzey Kore gruplarının yalnızca kötü amaçlı yazılımlarını değil aynı zamanda operasyonlarında hem bir güvenlik açığı hem de bir güç oluşturabilecek ağ altyapılarını da yeniden kullanması. OPSEC başarısızlıkları ve altyapının yeniden kullanılması bir araya geldiğinde şirketlere sızmak gibi yenilikçi taktikler, onları izlemeyi özellikle ilgi çekici kılıyor.”
Savunma ihlallerinin her birinin arkasındaki failler, güvenlik ihlali sonrasında dağıttıkları kötü amaçlı yazılımların (Nukesped ve Tiger uzaktan erişim Truva Atları (RAT) dahil) yanı sıra mimarileri ve IP adresleri sayesinde tespit edildi. Özellikle, bu IP’lerden bazılarının izi Çin’in Shenyang kentine ve 2014’te Korea Hydro & Nuclear Power Co.’ya yapılan saldırıya kadar uzanıyor.
Kore Ulusal Polis Teşkilatı yaptığı açıklamada, “Kuzey Kore’nin savunma teknolojisini hedef alan hackleme girişimlerinin devam etmesi bekleniyor.” dedi. Ajans, savunma şirketlerine ve ortaklarına iki faktörlü kimlik doğrulama kullanmalarını ve hesaplarıyla ilişkili şifreleri düzenli aralıklarla değiştirmelerini, dahili ve harici ağları kordon altına almalarını ve yetkisiz ve gereksiz yabancı IP adresleri için hassas kaynaklara erişimi engellemelerini tavsiye ediyor.