Batılı şirketlerde sahte kimlikler altında iş bulan Kuzey Koreli bilgi teknolojisi (BT) çalışanları, yalnızca fikri mülkiyet haklarını çalmakla kalmıyor, aynı zamanda bunu sızdırmamak için fidye talep ederek de harekete geçiyor ve bu da mali amaçlı saldırılarında yeni bir dönemece işaret ediyor.
Secureworks Karşı Tehdit Birimi (CTU) bu hafta yayınlanan bir analizde, “Bazı durumlarda dolandırıcı işçiler, içeriden erişim sağladıktan sonra eski işverenlerinden fidye ödemesi talep ettiler; bu, daha önceki programlarda gözlemlenmeyen bir taktikti.” dedi. “Bir vakada, bir yüklenici 2024 ortasında işe başladıktan hemen sonra özel verileri sızdırdı.”
Siber güvenlik şirketi, faaliyetin, aynı zamanda Ünlü Chollima ve UNC5267 olarak da bilinen Nickel Tapestry olarak takip ettiği bir tehdit grubuyla benzerlikler taşıdığını da sözlerine ekledi.
Kuzey Kore’nin stratejik ve finansal çıkarlarını ilerletmek amacıyla düzenlenen sahte BT çalışanı planı, yaptırımların vurduğu ülkeye yasa dışı gelir sağlamak amacıyla Batı’daki şirketlere sızmayı içeren bir içeriden tehdit operasyonunu ifade ediyor.
Bu Kuzey Koreli işçiler genellikle Çin ve Rusya gibi ülkelere gönderiliyor ve buralardan potansiyel iş fırsatları arayan serbest çalışanlar gibi davranıyorlar. Diğer bir seçenek olarak ise aynı amaçlara ulaşmak için ABD’de ikamet eden meşru bireylerin kimliklerini çaldıkları da tespit edildi.
Ayrıca, şirket tarafından verilen dizüstü bilgisayarlar için teslimat adreslerinde değişiklik talep ettikleri ve bunları genellikle dizüstü bilgisayar çiftliklerindeki aracılara yönlendirdikleri, bu kişilerin çabalarının karşılığını yabancı kökenli kolaylaştırıcılar tarafından karşılandığı ve Kuzey Korelilerin uzaktan masaüstü yazılımı yüklemesinden sorumlu oldukları da biliniyor. aktörlerin bilgisayarlara bağlanması.
Dahası, birden fazla yüklenici aynı şirket tarafından işe alınabilir veya alternatif olarak bir kişi birden fazla kişiliğe bürünebilir.
Secureworks, sahte yüklenicilerin kendi kişisel dizüstü bilgisayarlarını kullanmak için izin istedikleri ve hatta taşıma sırasında teslimat adresini değiştirdikleri için kuruluşların dizüstü bilgisayar sevkiyatını tamamen iptal etmelerine neden olduğu vakaları da gözlemlediğini söyledi.
“Bu davranış, Nickel Tapestry’nin kurumsal dizüstü bilgisayarlardan kaçınmaya yönelik ticari yaklaşımıyla uyumlu olup, potansiyel olarak ülke içi bir kolaylaştırıcı ihtiyacını ortadan kaldırır ve adli delillere erişimi sınırlandırır” dedi. “Bu taktik, yüklenicilerin kişisel dizüstü bilgisayarlarını kullanarak kuruluşun ağına uzaktan erişmelerine olanak tanıyor.”
Tehdit aktörlerinin geliştiğinin ve faaliyetlerini bir sonraki aşamaya taşıdığının bir işareti olarak, düşük performansı nedeniyle adı açıklanmayan bir şirket tarafından işine son verilen bir yüklenicinin, çalındığına dair kanıt içeren ZIP ekleri de dahil olmak üzere gasp e-postaları göndermeye nasıl başvurduğunu gösteren kanıtlar gün ışığına çıktı. veri.
Secureworks CTU Tehdit İstihbaratı Direktörü Rafe Pilling, yaptığı açıklamada, “Bu değişim, Kuzey Koreli BT çalışanlarının yanlışlıkla işe alınmasıyla ilişkili risk profilini önemli ölçüde değiştiriyor.” dedi. “Artık sadece istikrarlı bir maaş peşinde değiller, şirket savunmasının içinden veri hırsızlığı ve gasp yoluyla daha hızlı ve daha yüksek meblağlar arıyorlar.”
Tehdidin üstesinden gelmek için kuruluşlara, kapsamlı kimlik kontrolleri yapmak, yüz yüze veya görüntülü görüşmeler yapmak da dahil olmak üzere işe alım süreci sırasında dikkatli olmaları ve yüklenicilere gönderilen kurumsal BT ekipmanlarını yeniden yönlendirme girişimlerine karşı tetikte olmaları çağrısında bulunuldu. ev adresi, maaş çeklerinin para transferi hizmetlerine yönlendirilmesi ve yetkisiz uzaktan erişim araçlarıyla kurumsal ağa erişim.
Secureworks CTU, işçilerin şüpheli mali davranışlarına ve çağrılar sırasında videonun etkinleştirilmesinden kaçınma girişimlerine dikkat çekerek, “Bu artış ve FBI uyarısında listelenen davranışlar, bu planların hesaplanmış doğasını gösteriyor.” dedi.
“Fidye taleplerinin ortaya çıkması, önceki Nikel Goblen planlarından kayda değer bir ayrılığa işaret ediyor. Ancak, gasptan önce gözlemlenen faaliyet, Kuzey Koreli işçileri içeren önceki planlarla uyumlu.”