ABD Hazine Dış Varlıklar Kontrolü (OFAC) Salı günü, Kuzey Koreli bir hack grubunun bir üyesini yaptırım uyguladı Andariel Kötü şöhretli uzaktan bilgi teknolojisi (BT) işçi planındaki rolleri için.
Hazine, Çin’in Jilin eyaletinde bir adrese sahip 38 yaşındaki Kuzey Kore vatandaşı olan Şarkı Kum Hyok’un, yabancı işe alınan BT işçilerini ABD şirketleriyle uzaktan istihdam araması ve onlarla birlikte geliri bölmeyi planlayarak hileli operasyonu sağladığını söyledi.
2022 ve 2023 yılları arasında Song, isimleri, adresleri ve sosyal güvenlik numaraları da dahil olmak üzere ABD’li insanların kimliklerini kullandığı iddia ediliyor, daha sonra bu kişileri ülkede uzak iş arayan ABD vatandaşları olarak poz vermek için kullanan işe alınan işçiler için takma adlar oluşturmak için.
Geliştirme, ABD Adalet Bakanlığı’nın (DOJ) Kuzey Kore Bilgi Teknolojisi (BT) işçi planını hedefleyen kapsamlı eylemleri açıklamasından günler sonra, bir bireyin tutuklanmasına ve 29 finansal hesabın, 21 hileli web sitesinin ve yaklaşık 200 bilgisayarın ele geçirilmesine yol açtı.
Rusya merkezli bir BT işçi planında yer alan bir Rus ulusal ve dört kuruluşa karşı yaptırımlar da, kötü niyetli operasyonu çıkarmak için Kuzey Korelilerle sözleşme yapan ve ağırlayan. Bu dahil –
- Rusya merkezli şirketlerini ASATRYAN LLC ve Fortuna LLC’yi kullanan Gayk Asatryan, Kuzey Koreli BT işçilerini istihdam etmek için
- Kore Songkwang Trading General Corporation, Asatryan ile 30’a kadar BT işçisini Rusya’da Asatryan LLC için çalışmak üzere göndermek için bir anlaşma imzalayan General Corporation
- Asatryan ile 50’ye kadar BT işçisini Rusya’da Fortuna LLC için çalışmak üzere bir anlaşma imzalayan Kore Saenal Trading Corporation
Yaptırımlar, Lazarus Grubu’ndaki bir alt küme olan Andariel ile ilk kez bir tehdit aktörünün, yaptırımların vurulması ulusu için önemli bir yasadışı gelir akışı haline gelen BT işçi planına bağlı olduğunu işaret ediyor. Lazarus grubunun Kore Demokratik Halk Cumhuriyeti (DPRK) Keşif Genel Bürosu’na (RGB) bağlı olduğu değerlendirildi.
“Eylem, DPRK’nın KİS ve balistik füze programlarını gizli bir şekilde finanse etme çabalarının devam ettirilmesi konusunda uyanıklığın öneminin altını çiziyor” dedi.
“Hazine, Kim’i bozmak için mevcut tüm araçları kullanmaya kararlı kalır [Jong Un] Rejimin dijital varlık hırsızlığı, Amerikalıların kimliğine bürünme girişimi ve kötü niyetli siber saldırılarla yaptırımları atlatma çabaları ”
Nikel goblen, wagemole ve UNC5267 olarak da izlenen BT işçisi şeması, ABD şirketleriyle, daha sonra karmaşık kriptokrans işlemleri yoluyla rejime geri dönen düzenli bir maaş çekerek ABD şirketleriyle istihdam kazanmak için çalıntı ve hayali kimliklerin bir karışımını kullanan Kuzey Koreli aktörleri içerir.
TRM laboratuvarları tarafından derlenen veriler, Kuzey Kore’nin sadece 2025’in ilk yarısında 75 kripto para hack ve istismarın bir sonucu olarak çalınan toplam 2,1 milyar dolardan yaklaşık 1,6 milyar doların gerisinde olduğunu gösteriyor – esas olarak BYBIT’in gişe rekorları kıran şömine tarafından sürülüyor.
Tehdite karşı koymak için atılan adımların çoğunluğu görünüşte ABD’lerden geldi, ancak DTEX’teki Müdür I3 Insider Risk Araştırmacısı Michael “Barni” Barnhart, Hacker News’e diğer ülkelerin de benzer eylemler yaptığını ve daha geniş bir kitleye farkındalık yarattığını söyledi.
Barnhart, “Bu, birçok hareketli parça ile karmaşık, ulusötesi bir konudur, bu nedenle uluslararası işbirliği ve açık iletişim son derece yararlıdır.” Dedi.
“Bu konuyla ilgili bazı karmaşıklıkların bir örneği için, Singapur merkezli bir firma olarak poz veren bir ön şirket tarafından istihdam edilen, Amerika Birleşik Devletleri’ndeki müşterilere hizmet veren bir Avrupalı satıcıya sözleşme imzalayan bir Kuzey Koreli BT çalışanı, Çin’de fiziksel olarak bulunabilir. Bu operasyonel katmanlama seviyesi, ortak soruşturmalar ve istihbarat paylaşımının bu etkinliğe etkili bir şekilde karşı koyduğunu vurgular.”
“İyi haber şu ki, farkındalık son yıllarda önemli ölçüde arttı ve şimdi bu emeğin meyvelerini görüyoruz. Bu ilk farkındalık adımları, bu tehditleri tanıma ve aktif olarak bozma yolunda daha geniş bir küresel kaymanın bir parçası.”
Kuzey Kore’ye hizalanmış grubun Kimuky (AKA C-C-55 olarak adlandırılan) olarak izlendiği raporlarıyla yaptırımların haberleri, Güney Koreli varlıkları hedefleyen saldırılarda Happydoor adlı bir arka kapı kullanıyor. Ahnlab’a göre Happydoor, 2021’e kadar kullanıldı.
Tipik olarak mızrak-aktı e-posta saldırıları yoluyla dağıtılan kötü amaçlı yazılım, yıllar boyunca istikrarlı iyileştirmelere tanık oldu ve hassas bilgileri hasat etmesine izin verdi; komutları, PowerShell kodunu ve toplu komut dosyalarını yürüt; ve ilgilenilen dosyaları yükleyin.
Ahnlab, “Esas olarak bir profesör veya akademik kurumun kılık değiştirmesini üstlenen tehdit oyuncusu, bir kez çalıştırılan, bir arka kapı yükleyebilen ve ayrıca ek kötü amaçlı yazılım yükleyebilen eklerle e-postaları dağıtmak için mızrak aktı gibi sosyal mühendislik tekniklerini kullanıyor.”