ABD Hazine Dış Varlıklar Kontrolü (OFAC) Salı günü, Kuzey Koreli bir hack grubunun bir üyesini yaptırım uyguladı Andariel Kötü şöhretli uzaktan bilgi teknolojisi (BT) işçi planındaki rolleri için.
Hazine, Çin’in Jilin eyaletinde bir adrese sahip 38 yaşındaki Kuzey Kore vatandaşı olan Şarkı Kum Hyok’un, yabancı işe alınan BT işçilerini ABD şirketleriyle uzaktan istihdam araması ve onlarla birlikte geliri bölmeyi planlayarak hileli operasyonu sağladığını söyledi.
2022 ve 2023 yılları arasında Song, isimleri, adresleri ve sosyal güvenlik numaraları da dahil olmak üzere ABD’li insanların kimliklerini kullandığı iddia ediliyor, daha sonra bu kişileri ülkede uzak iş arayan ABD vatandaşları olarak poz vermek için kullanan işe alınan işçiler için takma adlar oluşturmak için.
Geliştirme, ABD Adalet Bakanlığı’nın (DOJ) Kuzey Kore Bilgi Teknolojisi (BT) işçi planını hedefleyen kapsamlı eylemleri açıklamasından günler sonra, bir bireyin tutuklanmasına ve 29 finansal hesabın, 21 hileli web sitesinin ve yaklaşık 200 bilgisayarın ele geçirilmesine yol açtı.
Rusya merkezli bir BT işçi planında yer alan bir Rus ulusal ve dört kuruluşa karşı yaptırımlar da, kötü niyetli operasyonu çıkarmak için Kuzey Korelilerle sözleşme yapan ve ağırlayan. Bu dahil –
- Rusya merkezli şirketlerini ASATRYAN LLC ve Fortuna LLC’yi kullanan Gayk Asatryan, Kuzey Koreli BT işçilerini istihdam etmek için
- Kore Songkwang Trading General Corporation, Asatryan ile 30’a kadar BT işçisini Rusya’da Asatryan LLC için çalışmak üzere göndermek için bir anlaşma imzalayan General Corporation
- Asatryan ile 50’ye kadar BT işçisini Rusya’da Fortuna LLC için çalışmak üzere bir anlaşma imzalayan Kore Saenal Trading Corporation
Yaptırımlar, Lazarus Grubu’ndaki bir alt küme olan Andariel ile ilk kez bir tehdit aktörünün, yaptırımların vurulması ulusu için önemli bir yasadışı gelir akışı haline gelen BT işçi planına bağlı olduğunu işaret ediyor. Lazarus grubunun Kore Demokratik Halk Cumhuriyeti (DPRK) Keşif Genel Bürosu’na (RGB) bağlı olduğu değerlendirildi.
“Hazinenin duyurusu, Andariel (APT45) hackleme grubunun Kuzey Kore’nin uzak BT işçisi operasyonu ile resmi bir kamu derneğini işaretlerken, bağlantı DTEX’teki Müdür I3 Insider Risk araştırmacısı Michael” Barni “Barnhart,” Michael “Barni” Barnhart, Hacker News’e söyledi.
Diyerek şöyle devam etti: “Bir bütün olarak DPRK siber faaliyet bağlamında incelendiğinde, bu tamamen yeni bir gelişme değildir. FBI’nın 2024 RIM Jong Hyok iddiası, kötü amaçlı yazılım gelişimi arasında erken örtüşmeler ve Kuzey Koreli casusluk gerçek çabalarının finansmanına bağlı siber suç finansal operasyonlarını vurgular.”
Barnhart ayrıca, Hyok’un Temmuz 2024 iddianamesinin, fidye yazılımı saldırıları (veya başka bir yol) yürütmesinden elde edilen gelirin Kuzey Kore’nin daha geniş zeka ve askeri hedeflerini nasıl körüklediğini hatırlattığını belirtti.
Barnhart, “Song’un hem APT45 organizasyonundaki hem de DPRK’nın BT işçileriyle örtüşmelerdeki etkinliği olan Rim’e benzer şekilde, DPRK’ya bakarken daha büyük genel tehdit resmini vurguluyor.” Dedi.
“Kuzey Koreli siber operatörler arasında bir ilerleme var gibi görünüyor, bireyler gruplar ve roller arasında hareket ediyor. DTEX’in DPRK siber sendika hakkındaki son raporunda belirtildiği gibi, BT işçilerini devlet destekli operasyonlara entegre etmede bir öncü olmuştur. Taktikleri, işçilerin sadece finansal kazanım için değil, aynı zamanda operasyonel varlıklar için katolist olabilir, ancak operasyonel olarak kullanılarak,”
“Eylem, DPRK’nın KİS ve balistik füze programlarını gizli bir şekilde finanse etme çabalarının devam ettirilmesi konusunda uyanıklığın öneminin altını çiziyor” dedi.
“Hazine, Kim’i bozmak için mevcut tüm araçları kullanmaya kararlı kalır [Jong Un] Rejimin dijital varlık hırsızlığı, Amerikalıların kimliğine bürünme girişimi ve kötü niyetli siber saldırılarla yaptırımları atlatma çabaları ”
Nikel goblen, wagemole ve UNC5267 olarak da izlenen BT işçisi şeması, ABD şirketleriyle, daha sonra karmaşık kriptokrans işlemleri yoluyla rejime geri dönen düzenli bir maaş çekerek ABD şirketleriyle istihdam kazanmak için çalıntı ve hayali kimliklerin bir karışımını kullanan Kuzey Koreli aktörleri içerir.
İçeriden tehdit, ülke için gelir elde etmek için Pyongyang tarafından benimsenen birçok yöntemden sadece biridir. TRM laboratuvarları tarafından derlenen veriler, Kuzey Kore’nin sadece 2025’in ilk yarısında 75 kripto para hack ve istismarın bir sonucu olarak çalınan toplam 2,1 milyar dolardan yaklaşık 1,6 milyar doların gerisinde olduğunu gösteriyor – esas olarak BYBIT’in gişe rekorları kıran şömine tarafından sürülüyor.
Yaptırımlardan tutuklamalara, dizüstü bilgisayar çiftlik nöbetlerine kadar değişen tehdide karşı koymak için atılan adımların büyük çoğunluğu, görünüşte ABD yetkililerinden geldi, ancak Barnhart, yayına diğer ülkelerin de benzer eylemler yaptığını ve daha geniş bir kitleye benzer eylemler yaptığını ve farkındalık yarattığını söyledi.
Barnhart, “Bu, birçok hareketli parça ile karmaşık, ulusötesi bir konudur, bu nedenle uluslararası işbirliği ve açık iletişim son derece yararlıdır.” Dedi.
“Bu konuyla ilgili bazı karmaşıklıkların bir örneği için, Singapur merkezli bir firma olarak poz veren bir ön şirket tarafından istihdam edilen, Amerika Birleşik Devletleri’ndeki müşterilere hizmet veren bir Avrupalı satıcıya sözleşme imzalayan bir Kuzey Koreli BT çalışanı, Çin’de fiziksel olarak bulunabilir. Bu operasyonel katmanlama seviyesi, ortak soruşturmalar ve istihbarat paylaşımının bu etkinliğe etkili bir şekilde karşı koyduğunu vurgular.”
“İyi haber şu ki, farkındalık son yıllarda önemli ölçüde arttı ve şimdi bu emeğin meyvelerini görüyoruz. Bu ilk farkındalık adımları, bu tehditleri tanıma ve aktif olarak bozma yolunda daha geniş bir küresel kaymanın bir parçası.”
Kuzey Kore’ye hizalanmış grubun Kimuky (AKA C-C-55 olarak adlandırılan) olarak izlendiği raporlarıyla yaptırımların haberleri, Güney Koreli varlıkları hedefleyen saldırılarda Happydoor adlı bir arka kapı kullanıyor. Ahnlab’a göre Happydoor, 2021’e kadar kullanıldı.
Tipik olarak mızrak-aktı e-posta saldırıları yoluyla dağıtılan kötü amaçlı yazılım, yıllar boyunca istikrarlı iyileştirmelere tanık oldu ve hassas bilgileri hasat etmesine izin verdi; komutları, PowerShell kodunu ve toplu komut dosyalarını yürüt; ve ilgilenilen dosyaları yükleyin.
Ahnlab, “Esas olarak bir profesör veya akademik kurumun kılık değiştirmesini üstlenen tehdit oyuncusu, bir kez çalıştırılan, bir arka kapı yükleyebilen ve ayrıca ek kötü amaçlı yazılım yükleyebilen eklerle e-postaları dağıtmak için mızrak aktı gibi sosyal mühendislik tekniklerini kullanıyor.”
(Hikaye, yayından sonra DTEX’ten ek bilgiler içerecek şekilde güncellendi.)