Flashpoint’ten siber güvenlik araştırmacıları, Kuzey Kore tehdit aktörleri tarafından küresel organizasyonlara uzak çalışma güvenlik açıkları yoluyla sızmak için kullanılan karmaşık taktikleri ortaya çıkardılar.
Kore Demokratik Halk Cumhuriyeti’ne (DPRK) bağlı olan bu operatörler, meşru serbest geliştiriciler, BT uzmanları ve yükleniciler olarak maskeli balo, kendilerini en az 88 milyon dolarlık USD’yi sifonlamak için kurumsal iş akışlarına yerleştirdiler.
Bu yasadışı gelir, son istihbarat brifinglerinde vurgulandığı gibi DPRK’nın silah programlarını doğrudan finanse ediyor.
Bir topluluk çağrısından ve DPRK sistemlerinden çıkarılan ilk elden verilerden yararlanan analiz, uzun süreli erişimden kaçınmak ve uzun vadeli erişimi sürdürmek için uzaktan çalışmanın esnekliğinden yararlanan sofistike operasyonlarına benzeri görülmemiş bir bakış sunmaktadır.
AI-Geliştirilmiş Aldatma
Bu kampanyaların özünde, DPRK aktörlerinin çok yıllı sızıntıları sürdürmelerini sağlayan titizlikle tasarlanmış bir orijinal kişiler sistemi yatıyor.
Operatörler, her biri farklı bireyleri taklit etmek için profesyonel detaylarda ince varyasyonlara sahip olan tek bir cihazda on profili yöneten “paralel kimlikler” oluştururlar.
Bunlar, “Persona Kitleri” veya etkileşimler sırasında tutarlı anlatılar sağlayan hile sayfaları tarafından desteklenirken, proxy sunucuları ve imza anahtarlaması çeşitli coğrafi kökenleri simüle eder.
Profiller otomatik izlemeyi geçecek kadar iyi huylu ve hacimli göründüğü için bu gizleme geleneksel veterinerliği engeller.
Bunu birleştirerek, ChatGPT gibi üretken yapay zeka araçları, teknik görüşmelere cilalı yanıtlar oluşturmak, doğal diyalogları simüle etmek ve hatta otantiklik için profil görüntülerini değiştirmek için yoğun bir şekilde kullanılır.
Flashpoint’in DPRK’ya özgü Google Çeviri URL’lerini incelemesi, yapay zekaya olan bu güveni doğrular ve ilkel dil bariyerlerini işe alımcıların ve güvenlik ekiplerinin gibi aptalca, ikna edici iletişimlere dönüştürür.
Teknolojik cephanelik
DPRK’nın uzaktan sahtekarlık altyapısı, konum sahtekarlığı, uzaktan kumanda ve iç koordinasyon için tasarlanmış bir dizi ileri teknoloji ile desteklenmektedir.
Kökenlerini gizlemek için operatörler, Astrill VPN ve özel vekiller gibi sanal özel ağları, dahili ağlara güvenli geri çekilme için NetKey ve Oconnect gibi DPRK tarafından geliştirilen araçların yanı sıra kullanırlar.
AnyDesk ve VMware Workstation gibi araçlar gizli sistem yönetimini etkinleştirirken, OBS ve MUMSCAM dahil sanal kamera yazılımı aracılığıyla uzaktan erişim kolaylaştırılır.
Yüksek güvenlikli senaryolarda, PIKVM gibi IP-KVM cihazları, genellikle yanlışlıkla çevrimiçi olarak maruz kalan işveren tarafından verilen donanımlar üzerinde fiziksel düzeyde kontrol sağlar.
Dahili olarak, ekipler Hassas Veri ve Sınıf Spy Pro’yu Paylaşım için IP Messenger üzerinden denetleyici izleme için koordine eder.
Finansal olarak, operasyonlar, Polonya, Nijerya, Çin, Rusya, Japonya ve Vietnam gibi yerlerde tutulan dizüstü bilgisayar çiftliklerini içeren küresel lojistik ağları tarafından desteklenen kripto para transferlerine ve çevrimiçi ödeme platformlarına bağlıdır.
ABD merkezli kolaylaştırıcılar, tekrarlanan nakliye adresleriyle, merkezi dolandırıcılık merkezlerini sinyal veren ekipman nakliye, bankacılık kurulumları ve hatta proxy röportajları ile işleyerek bunu daha da etkinleştiriyor.
Bu tehditlere karşı koymak için Flashpoint, titiz denetleme ve devam eden gözetimi vurgulayan katmanlı, istihbarat liderliğindeki bir savunma stratejisini savunuyor.
Röportajlar sırasında, canlı videoyu zorunlu kılmak ve senaryo yanıtları veya kaçamak davranışlar gibi tutarsızlıkları incelemek, sahtekârları maskeleyebilir.
Rapora göre, kırmızı bayraklar taze basmış e-posta hesapları, seyrek bağlantılara sahip jenerik LinkedIn profilleri veya “çerez kesici” GitHub depoları içerir.
Kiralama sonrası teknik kontroller çok önemlidir: Anomali algılama sistemleri, yetkisiz uzaktan yönetim araçları veya sanal kamera kurulumlarını izlerken eşleşmeyen coğrafi durumlardan VPN kullanımı gibi düzensiz giriş modellerini işaretlemelidir.
Kurumsal cihazlarda coğrafi konum doğrulaması, nakliye adresi izleme ile birleştiğinde, dizüstü bilgisayar çiftliklerinin belirlenmesine yardımcı olur.
Anormal veri pespiltrasyonu veya kod değişikliklerine odaklanan ağ davranışı analizi, bu önlemleri tamamlar ve kuruluşların DPRK erişimini daha geniş siber casusluk veya finansal hırsızlık haline getirmeden önce bozmasını sağlar.
Bu bütünsel yaklaşım, giderek artan bir dijital manzarada hibrid işgücü risklerinin altını çiziyor.
Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!