Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Hükümet
Andariel Group, Pyongyang’ın Nükleer Programına Güç Vermek İçin Gizli Teknoloji Arıyor
Jayant Chakravarti (@JayJay_Tech) •
29 Temmuz 2024
ABD, İngiltere ve Güney Kore hükümet kurumları, Kuzey Kore casusluk grubunun, Kim Jong Un rejiminin askeri ve nükleer hedeflerini ilerletmek amacıyla Batı’nın nükleer ve askeri teknolojilerini çalmak amacıyla savunma, havacılık ve enerji sektörlerini hedef aldığını iddia etti.
Ayrıca bakınız: Web Semineri | Sosyal Mühendislik ve Kimlik Avıyla Mücadele İçin Yapabileceğiniz Her Şey
Güney Kore Ulusal İstihbarat Servisi ve Ulusal Polis Teşkilatı, İngiltere Ulusal Siber Güvenlik Merkezi, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı ve FBI’ın da aralarında bulunduğu çok sayıda kurumun ortak bildirisine göre, kampanyaya öncülük eden, Kuzey Kore’nin önde gelen istihbarat teşkilatı olan Keşif Genel Bürosu’nun Pyongyang ve Sinuiju merkezli bölümü. Bu birimde, kurumsal ağlara sızmak ve rejimin ilgisini çekebilecek bilgileri çalmak için kurumsal yazılım ve web sunucularındaki güvenlik açıklarını silah olarak kullanan bir siber casusluk grubu olan Andariel de yer alıyor.
Onyx Sleet, DarkSeoul, Silent Chollima ve Stonefly adlarıyla da takip edilen grubun öncelikli olarak Batılı ve müttefik savunma, havacılık, nükleer ve mühendislik kuruluşlarını hedef aldığı ve faaliyetlerini ABD sağlık kuruluşlarına yönelik fidye yazılımı saldırılarıyla finanse ettiği belirtildi.
Geçtiğimiz hafta, siber güvenlik şirketi Mandiant, APT45 olarak takip ettiği hacker grubunu, diğer hedefli casusluk kampanyalarının yanı sıra hükümet nükleer tesisleri, araştırma enstitüleri ve savunma sistemleri hakkında istihbarat elde etmekle suçladı. Grup yakın zamanda faaliyetlerini sağlık, enerji ve finans sektörlerini hedef alacak şekilde genişletti (bkz: Mandiant: Kuzey Koreli Hackerlar Sağlık ve Enerji Sektörünü Hedef Alıyor).
Grup, son yıllarda Kuzey Kore’nin silah geliştirme yeteneklerini desteklemek amacıyla muharebe tankları, topçu silahları, küçük savaş gemileri, denizaltılar ve su altı araçları, savaş uçakları ve uydular gibi askeri sistemlerle ilgili gizli teknik bilgileri aktif olarak takip ediyor.
Ortak danışmaya göre, Andariel’in gizli askeri teknolojilere erişmek için siber casusluğa güvenmesi, ABD ve Güney Koreli örgütlere karşı yıkıcı siber saldırılar başlatmaya odaklanan önceki operasyonlarından bir sapmayı işaret ediyor. Grup şu anda hedeflenen ağlara sızmak için popüler uygulamalardaki ve sunuculardaki güvenlik açıklarından yararlanmaya güveniyor.
Güney Kore’nin AhnLab Güvenlik İstihbarat Merkezi, Temmuz ayı başlarında devlet destekli bilgisayar korsanı grubunun Güney Koreli bir ERP çözümündeki ve on yıllardır kullanılan Windows IIS web sunucularındaki güvenlik açıklarını kullanarak Güney Koreli kuruluşların ağlarına bulaşıp veri çaldığını açıkladı (bkz: Andariel Group, Güney Kore’yi Hedef Almak İçin Yazılım Kusurlarını Kullanıyor).
Ajanslara göre, hacker grubu NIST Ulusal Güvenlik Açığı Veritabanı’nda yayınlanan yaygın güvenlik açıklarını ve ifşaları veya CVE’leri araştırıyor, kurbanları hakkında açık kaynaklı bilgiler topluyor ve ağlarına sızmak için istismarlar geliştiriyor. Son yıllarda grup, MOVEIt, Citrix NetScaler, Ivanti Endpoint Manager Mobile, GoAnywhere MFT, ManageEngine, Apache HTTP Server ve diğer yaygın olarak kullanılan yazılım platformlarındaki CVE’leri istismar etti.
Bir ağa sızdıktan sonra, grup “topraktan geçinme” tekniklerini kullanır, sistemleri, ağları ve hesapları saymak için Windows komut satırı, PowerShell, Windows Yönetim araçları komut satırı ve Linux Bash gibi yerel araçları ve süreçleri dağıtır. Ayrıca, algılanmadan çalışmak için gelişmiş hata ayıklama ve algılama yeteneklerine sahip ticari araçları ve kimlik bilgilerini çalmak ve Active Directory etki alanı veritabanına erişmek için Mimikatz, ProcDump ve Dumpert gibi araçları kullanır.
Grubun özel araçları, kötü amaçlı komutlar yürütmesine, tuş vuruşlarını kaydetmesine, tarayıcı geçmişini almasına, işlemleri izlemesine, ağ bağlantılarını ele geçirmesine, dosyalara yazmasına ve bir komuta ve kontrol sunucusuna içerik yüklemesine olanak tanıyor.