
Kuzey Kore tehdit aktörleri, siber suçlu operasyonlarını dünya çapındaki kuruluşlardan en az 88 milyon dolarlık USD’yi başarıyla sifonlayan sofistike bir dijital aldatma kampanyasına dönüştürdü.
Meşru serbest geliştiriciler, BT personeli ve yükleniciler olarak görünen bu operatörler, kendilerini güvenilir kurumsal iş akışlarına gömmek için uzaktan çalışmaya yönelik küresel kaymayı kullandılar.
Kampanya, devlet destekli siber suçlarda önemli bir yükselmeyi temsil ediyor ve Kuzey Kore’nin yasadışı silah programlarını dikkatle düzenlenmiş çok yıllı operasyonlar yoluyla doğrudan finanse ediyor.
Tehdit manzarası, bu aktörlerin tespit edilmemiş kalırken uzun vadeli erişimi sürdürme yeteneği tarafından temelden değiştirilmiştir. Geleneksel hit ve koşu siber saldırılarının aksine, bu operasyonlar, tehdit aktörlerinin aylar hatta yıllarca meşru çalışanlar olarak çalıştığı sürekli sızma içermektedir.
Başarıları, dünyanın dört bir yanındaki yerlerden çalışmaya devam ederken, Kuzey Kore’den faaliyet göstermelerini sağlayan titiz hazırlık ve gelişmiş teknik araçların konuşlandırılmasından kaynaklanmaktadır.
Flashpoint Intel ekip araştırmacıları, bu operatörler tarafından istihdam edilen sofistike tradecraft’ı belirleyerek kimlik gizlemesine ve teknik kaçırmaya yönelik sistematik bir yaklaşım ortaya koydu.
Araştırmacılar, Polonya, Nijerya, Çin, Rusya, Japonya ve Vietnam’da gözlenen altyapı ve faaliyetlerle birlikte birden fazla kıtayı kapsayan koordineli kampanyaların kanıtlarını ortaya çıkardılar.
Bu küresel erişim, Kuzey Kore’nin uzak işçi sızma programının ölçeğini ve tutkusunu göstermektedir.
Finansal etki, bu aktörler hassas fikri mülkiyet, kaynak koduna ve iç kurumsal sistemlere erişim kazandıklarından doğrudan parasal hırsızlığın ötesine uzanmaktadır.
Kuruluşlar bilmeden bu tehdit aktörlerine şirket ekipmanı, ağ erişimi ve ayrıcalıklı bilgiler sağlayarak hem acil finansal kazanç hem de uzun vadeli stratejik zeka toplama için mükemmel bir fırtına oluşturuyor.
Gelişmiş kalıcılık ve kontrol mekanizmaları
Kuzey Koreli uzak işçilerin teknik sofistike, gerçek coğrafi konumlarını ve kimliklerini maskelerken kurumsal sistemlere kalıcı erişimi sürdürme yeteneklerine odaklanmaktadır.
Operasyonlarının merkezinde, hedef sistemler üzerinde birden fazla kontrol katmanı sağlayan özel uzaktan erişim araçlarının konuşlandırılması bulunmaktadır.
Aktörler, en güvenli kurumsal dizüstü bilgisayarların bile uzaktan fiziksel kontrolünü sağlamak için doğrudan hedef makinelere takılan IP-KVM cihazlarını, özellikle PIKVM donanımını kullanır.
Bu KVM-IP üzerinden çözümler, operatörlerin makinedeki fiziksel varlığa eşdeğer düşük seviyeli donanım erişimi sağlayarak geleneksel uzak masaüstü yazılım sınırlamalarını atlamasına olanak tanır.
Flashpoint araştırmacıları, bu IP-KVM hizmetlerinin, müdahaleler sırasında yanlışlıkla çevrimiçi olarak maruz bırakıldığı durumları keşfetti ve dağıtımlarının kapsamını ortaya koydu.
Oyuncular, toplantılar ve röportajlar sırasında canlı video varlığını simüle etmek için OBS ve Manycam dahil olmak üzere sanal kamera yazılımı ile bu donanım yaklaşımını tamamlarlar.
Ağ düzeyinde gizleme için, tehdit aktörleri, iç Kuzey Kore ağlarına güvenli şifreli bağlantıları kolaylaştıran Netkey ve Oconnect dahil olmak üzere özel Kuzey Kore yazılım araçlarını dağıtıyor.
Bu araçlar, IP tabanlı izlemeyi savunucular için son derece zorlayıcı hale getiren birden fazla trafik yönlendirme katmanı oluşturmak için Astrill VPN gibi ticari VPN hizmetleriyle birlikte çalışır.
Koordinasyon altyapısı, eknik karmaşıklığı ortaya koyuyor ve operatörler Windows for Windows’u kullanan operatörler, ekiplerinde hassas bilgiler ve ekran görüntülerini paylaşmak için.
Denetim kontrolü, DPRK işleyicilerinin uzak operatörlerinin faaliyetlerini gerçek zamanlı olarak izlemelerini sağlayarak “Classroom Spy Pro” yazılımı aracılığıyla sürdürülür ve operasyonel güvenlik ve performans standartlarının genişletilmiş sızma kampanyaları boyunca sürdürülmesini sağlar.
Entegre etmek Herhangi biri. Gelişmiş tehditleri analiz etmek için siem veya soar ile -> 50 ücretsiz deneme aramasını deneyin