
Önemli bir siber güvenlik soruşturmasında, araştırmacılar, ABD merkezli şirketlerde ve kar amacı gütmeyen kuruluşlarda uzaktan BT pozisyonlarını güvence altına almak için çalıntı kimlikler kullanan Kuzey Koreli vatandaşlar tarafından düzenlenen ayrıntılı bir sahtekarlık planı ortaya koydular.
Aralık 2024 ABD iddianamesine göre, on dört Kuzey Koreli vatandaş, altı yıllık bir süre boyunca Kuzey Kore hükümetine en az 88 milyon USD huni olan bu aldatıcı operasyona dahil olduklarından suçlandı.
Plan, Kuzey Kore’nin siber operasyonlarının sofistike bir evrimini temsil ediyor ve hileli istihdam uygulamaları yoluyla meşru işletmelere sızmak için geleneksel siber saldırıların ötesine geçiyor.
Operasyon, uyumlu istihdam geçmişleri, profesyonel referanslar ve sahte kimlik belgeleri ile birlikte ayrıntılı yanlış kişiler yaratan Kuzey Koreli operatörleri içeriyordu.
Bu bireyler, fiziksel varlık gerektirmeden hassas kurumsal ağlara ve altyapıya erişim sunan uzaktan BT pozisyonlarını hedeflediler.
Özellikle teknoloji sektöründe, uzaktan çalışma eğiliminden yararlanarak, bu operatörler, bunları yabancı ajanlar olarak tanımlamış olabilecek geleneksel güvenlik önlemlerini ve arka plan kontrollerini atlamayı başardılar.
Programın etkisi, bu yerleşimler potansiyel olarak Kuzey Kore’ye kurumsal ağlar, tescilli teknolojiler ve kritik altyapı hakkında değerli zeka sağladığı için acil finansal kazanımların ötesine uzanmaktadır.
Bu bireyleri farkında olmadan istihdam eden şirketler ve kuruluşlar, kendilerini görünür bir güvenlik ihlali belirtisi olmadan veri açığa vurma, ağ uzlaşması ve fikri mülkiyet hırsızlığına maruz bırakmış olabilirler.
Flashpoint analistleri, bilgi çalan kötü amaçlı yazılım enfeksiyonlarının yenilikçi bir analizi ile sahtekarlığı belirledi ve aslında tehdit aktörlerinin kendi araçlarını onlara karşı çevirdi.
Meydan okurcası kimlik bilgisi izleme (CCM) verilerini inceleyerek, araştırmacılar DOJ iddianamesi-bebek kutusu bilgisinde belirtilen sahte şirketlerin etki alanı adlarını, Helix US ve Cubix Tech US–belirli kimlik bilgisi hesaplarına bağlı. Bu analitik yaklaşım, çeşitli çevrimiçi platformlarda Kuzey Koreli operatörlerin dijital ayak izlerini izlemelerini sağladı.
Teknik Tespit Metodolojisi
Soruşturmada teknik atılım, Flashpoint araştırmacıları, Lahore, Pakistan’daki hileli şirketleri kurmak için kullanılan aynı tescil ettiren e -posta hesapları için kaydedilmiş kimlik bilgilerini içerdiğinde ortaya çıktı.
Parola yeniden kullanım modelleri, iddianamede referans verilen bir kimlikle eşleşen bir “JSilver617” kullanıcı adı dahil olmak üzere ek kontrollü hesaplar ortaya koydu.
Kuzey Kore bağlantısını gerçekten doğrulayan şey, Infostealer günlükleri tarafından yakalanan tarayıcı tarihinde İngilizce ve Korece arasında çevirileri gösteren kapsamlı Google Çeviri girişlerinin keşfedilmesiydi.
Bu çeviriler, taktiklerini, tekniklerini ve prosedürlerini ortaya çıkaran operatörler arasındaki fabrikasyon iş referansları ve iletişimleri içeriyordu.
Flashpoint’in soruşturması, yurtdışından kurumsal cihazları kontrol etmek için AnyDesk gibi uzaktan erişim yazılımının kullanımı da dahil olmak üzere sofistike operasyonel güvenlik önlemlerinin kanıtlarını ortaya çıkardı.
Program, ABD merkezli işbirlikçilerinin Kuzey Koreli işçilerin uzaktan erişeceği işveren gemili cihazları alacağı “dizüstü bilgisayar çiftlikleri” içeriyordu.
Soruşturmada yakalanan mesajlar, video görüşmelerini önlemek, ses kimliğine bürünmesini koordine etmek ve istihdam doğrulama süreçlerini manipüle etmek için kasıtlı stratejiler ortaya koydu ve Amerikan şirketlerine sızarken kapaklarını korumak için alınan metodik yaklaşımı gösterdi.
How SOC Teams Save Time and Effort with ANY.RUN - Live webinar for SOC teams and managers