Amerika Birleşik Devletleri, on dört Kuzey Koreli vatandaşı, çalıntı kimlikleri kullanarak Amerikan şirketlerinde ve kâr amacı gütmeyen kuruluşlarda uzaktan BT işlerini güvence altına almak için sofistike bir plan düzenlediklerini suçladı.
Son altı yılda Kuzey Kore Hükümeti’ne (DPRK) en az 88 milyon ABD Doları’nı (DPRK) huni olan bu operasyon, Fortune 500 şirketleri, teknoloji firmaları ve kripto para sektörleri ile gizli DPRK ajanları sifonlama fonlarını, entelektüel mülkleri ve hassas verileri bildirdi.
Gelişmiş istihbarat araçlarından yararlanmak, Flashpoint’ten araştırmacılar, sahte şirketlerin, kötü amaçlı yazılım enfeksiyonlarının ve uzaktan erişim yazılımlarının kullanımı da dahil olmak üzere, bu tehdit aktörleri tarafından kullanılan karmaşık taktikleri, teknikleri ve prosedürleri (TTP’ler) ortaya koyarak derinlemesine bir soruşturma yürüttüler.
.png
)
Kimlik hırsızlığı ve kötü amaçlı yazılım taktikleri maruz kaldı
Adalet Bakanlığı’nın (DOJ) iddianamesine dayanan Flashpoint’in analizi, özgeçmişleri üretmek ve hileli referanslar sağlamak için kullanılan Baby Box Info, Helix US ve Cubix Tech US gibi hayali varlıklarla bağlantılı alan adlarını belirledi.
Analistler, tehlikeye atılan kimlik bilgisi izleme (CCM) veri kümelerini inceleyerek, bilgi çalma kötü amaçlı yazılımlarla bulaşmış bu alanlara bağlı hesapları keşfetti ve operatörlerin yöntemlerine ilişkin kritik bilgiler ortaya koydu.
Özellikle, “JS” takma adı uyarınca suçlu bir bireye bağlı olan kimlik bilgileri, Pakistan’ın Lahor’daki enfekte konakçılarda görünen “JSilver617” gibi kullanıcı adları ile ortaya çıktı.
AnyDesk uzak masaüstü yazılımı ile donatılmış bu makineler, kurumsal İK platformları ve iş panoları için kaydedilmiş kimlik bilgilerini barındırdı ve 2023 boyunca teknoloji rollerine başvurmak için kapsamlı çabaları kanıtladı.
Tarayıcı Otomatik Dönem verileri, bu ana bilgisayarları iddianamede adlandırılan sahte şirketlere daha fazla bağlarken, tarihi etki alanı tescil ettiren kayıtları alanları tek bir e -posta adresine bağlayarak sahtekarlığın koordineli doğasını güçlendirdi.
DPRK imzaları ve küresel operasyonlar
Enfekte edilmiş makinelerden tarayıcı geçmişinin daha fazla incelemesi, Kore ve Koreli olmayan konuşmacılar arasındaki denetim iletişimlerine işaret ederek İngilizce ve Korece arasında çevirilerle birlikte Google Çeviri URL’lerini ortaya çıkardı.
Bu girişler, ABD tabanlı roller için yanlış istihdam geçmişlerini doğrulayan e-postaların yanı sıra Helix ve Cubix gibi ön şirketlerin fabrikasyon iş referanslarını içeriyordu.
Daha endişe verici olan, Nijerya ve Dubai gibi yerlerde ses kayıtları ve elektronik cihazlar ve telefon-“dizüstü bilgisayar çiftlikleri” ile ilgili tartışmaları manipüle ederek video görüşmelerinden kaçınma stratejileri gibi operasyonel Tradecraft’ı ortaya çıkaran mesajlardı.
ABD merkezli ortak çalışanlar tarafından genellikle kolaylaştırılan bu tür kurulumlar, Kuzey Koreli aktörlerin şüphesiz işverenler tarafından verilen kurumsal cihazlara uzaktan erişmelerini sağlar.
Buna ek olarak, tercüme edilen mesajlar, yerel aracıların yardımıyla gümrük aracılığıyla kaçakçılık cihazları için lojistiğin yanı sıra başarısız iş yerleşimleri ve tespit korkuları üzerinde hayal kırıklıkları ortaya koydu.
İlk bulgular Kuzey Kore ile doğrudan bağlardan yoksun olsa da, Flashpoint, ABD IP adresleriyle astrill VPN’lerin kullanılması ve enfekte olmuş ana bilgisayarlarda Çin zaman dilimleriyle eşleştirilmiş Kore dil girişleri gibi yerel ayar ayarları da dahil olmak üzere DPRK imzalarını tanımladı.
IP adresleri Pakistan’a işaret ederken ve iş başvurusu verileri ABD, BAE, Fransa ve Nijerya’daki ikametgahlara atıfta bulunurken, dilsel kalıplar ve operasyonel davranışlar bilinen DPRK taktikleriyle güçlü bir şekilde hizalandı.
Bu soruşturma sadece Kuzey Kore’nin uzak çalışma sahtekarlığının ölçeğinin altını çizmekle kalmaz, aynı zamanda siber zekanın devlet destekli şemaları incelemede kritik rolünü de vurgulamaktadır.
Şirketler serpinti ile uğraştıkça, Flashpoint’in bulguları, bu tür sinsi tehditlere karşı koymak için sağlam kimlik doğrulaması ve uç nokta güvenliğine duyulan ihtiyacın kesin bir hatırlatıcısı olarak hizmet ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!