ABD Adalet Bakanlığı (DoJ), Kore Demokratik Halk Cumhuriyeti’ne (Kuzey Kore veya Kuzey Kore) mensup 14 kişiyi, yaptırımları ihlal etmeye ve elektronik dolandırıcılık, kara para aklama ve kimlik hırsızlığı yapmaya yönelik uzun süredir devam eden bir komploya dahil oldukları iddiasıyla suçladı. ABD şirketlerinde ve kar amacı gütmeyen kuruluşlarda yasa dışı olarak iş arayarak.
“Sırasıyla Çin Halk Cumhuriyeti’nde (PRC) ve Rusya Federasyonu’nda (Rusya) bulunan Kuzey Kore kontrolündeki Yanbian Silverstar ve Volasys Silverstar şirketleri için çalışan komplocular, ABD ve Rusya’nın sahte, çalıntı ve ödünç alınmış kimliklerini kullanmak için komplo kurdular. Adalet Bakanlığı, diğer kişilerin Kuzey Kore kimliklerini ve yabancı konumlarını gizlemelerine ve uzaktan bilgi teknolojisi (BT) çalışanı olarak iş bulmalarına izin verdi.” dedi.
BT çalışanlarının planının Kuzey Kore rejimine altı yıllık bir süre içinde en az 88 milyon dolar sağladığı iddia edildi. Buna ek olarak uzaktan çalışanlar, özel kaynak kodu gibi bilgi hırsızlığına girişti ve fidye ödenmediği takdirde verileri sızdırmakla tehdit etti. Bu şekilde elde edilen yasa dışı gelirler daha sonra ABD ve Çin mali sistemleri aracılığıyla Pyongyang’a yönlendirildi.
Adalet Bakanlığı, Kuzey Koreli bir BT çalışanının gasp talebini yerine getirmeyi reddeden ve daha sonra gizli bilgileri internete sızdıran bir işverenin yüzbinlerce dolar zarara uğradığının farkında olduğunu söyledi.
Tanımlanan kişiler aşağıdadır:
- Jong Song Hwa
- Ri Kyong Sik
- Kim Ryu Şarkısı
- Rim Un Chol
- Kim Mu Rim
- Cho Chung Pom
- Hyon Chol Şarkısı
- Oğlu Un Chol
- Sok Kwang Hyok
- Choe Jong Yong
- Ko Chung Sok
- Kim Ye Won
- Jong Kyong Chol ve
- Jang Chol Myong
14 komplocunun üst düzey şirket yöneticilerinden bilgi teknolojileri çalışanlarına kadar çeşitli kademelerde çalıştığı söyleniyor. Yaptırım uygulanan iki şirket, BT Savaşçıları olarak anılan ve firmaların Kuzey Kore’ye para sağlamak amacıyla düzenlediği “sosyalizm yarışmalarına” katılan en az 130 Kuzey Koreli BT çalışanını istihdam etti. En iyi performans gösterenlere ikramiye ve diğer ödüller verildi.
Bu gelişme, ABD hükümetinin son yıllarda siber güvenlik topluluğu tarafından Wagemole adı altında takip edilen bir kampanya olan dolandırıcı BT çalışanı planına karşı gerçekleştirdiği bir dizi eylemin sonuncusu.
Adalet Bakanlığı, o zamandan beri Kuzey Kore BT çalışanları tarafından ABD ve diğer ülkeler için uzaktan çalışma sözleşmeleri yapma girişimlerini desteklemek amacıyla Batılı BT hizmetleri firmalarını taklit etmek için kullanılan 29 sahte web sitesi alan adını (Ekim 2023’te 17 ve Mayıs 2024’te 12) ele geçirdiğini söyledi. dünya çapındaki işletmeler. Ajans ayrıca, plana bağlı banka hesaplarından kümülatif olarak 2,26 milyon dolara (Ekim 2023’te ele geçirilen 1,5 milyon dolar dahil) el konulduğunu söyledi.
Ayrı bir gelişmede, Dışişleri Bakanlığı paravan şirketler, belirlenen kişiler ve bunların yasa dışı faaliyetleri hakkında bilgi verenlere 5 milyon dolara kadar ödül teklifinde bulunduğunu duyurdu.
“DPRK BT çalışanlarının planları, sahte e-posta, sosyal medya, ödeme platformu ve çevrimiçi iş sitesi hesaplarının yanı sıra sahte web siteleri, proxy bilgisayarlar, sanal özel ağlar, sanal özel sunucular ve Amerika Birleşik Devletleri’nde bulunan farkında olmayan üçüncü tarafların kullanımını içerir. ve başka yerlerde,” dedi DoJ. “Komplocular Kuzey Koreli kimliklerini işverenlerden gizlemek için birçok teknik kullandılar.”
Bu tür yöntemlerden biri, ABD’deki dizüstü bilgisayar çiftliklerinin, ülkede ikamet eden kişilere şirket tarafından verilen dizüstü bilgisayarları alıp kurmaları ve BT çalışanlarının üzerlerine yüklenen yazılım aracılığıyla uzaktan bağlanmalarına olanak tanımaları için ödeme yaparak kullanılmasıdır. Buradaki fikir, gerçekte Çin veya Rusya’da bulunmalarına rağmen, işe ABD içinden eriştikleri izlenimini vermektir.
14 komplocunun tamamı, Uluslararası Acil Ekonomik Güçler Yasasını ihlal etmek için komplo kurmak, elektronik dolandırıcılık yapmak için komplo kurmak, kara para aklamak için komplo kurmak ve kimlik hırsızlığı yapmak için komplo kurmakla suçlandı. Bunlardan sekizi ağırlaştırılmış kimlik hırsızlığıyla suçlandı. Suçlu bulunmaları halinde her biri en fazla 27 yıl hapis cezasıyla karşı karşıya kalacak.
Radiant Capital Kripto Soygunu Citrine Sleet’le Bağlantılı
BT çalışanı dolandırıcılığı, Kuzey Kore’nin yasa dışı gelir elde etmek ve stratejik hedeflerini desteklemek için benimsediği birçok yöntemden sadece biri; diğerleri ise kripto para hırsızlığı ve bankacılık ve blockchain şirketlerini hedef alıyor.
Bu ayın başlarında merkezi olmayan finans (DeFi) platformu Radiant Capital, Citrine Sleet adlı Kuzey Kore bağlantılı bir tehdit aktörünü, Ekim 2024’te sistemlerinin ihlali sonrasında gerçekleşen 50 milyon dolarlık kripto para soygunuyla ilişkilendirdi.
Pırıltılı Balık, Labirent Chollima, Nickel Akademisi ve UNC4736 olarak da adlandırılan düşman, Lazarus Grubu içindeki bir alt kümedir. Aynı zamanda, geliştiricileri kazançlı iş fırsatlarıyla kandırıp onları kötü amaçlı yazılım indirmeye ikna etmeyi amaçlayan Operation Dream Job adlı kalıcı bir sosyal mühendislik kampanyası düzenlemesiyle de tanınıyor.
Bu çabaların, arkalarındaki faaliyet kümesine bağlı olarak, kodlama testlerinden (Bulaşıcı Röportaj) GitHub projesi üzerinde işbirliği yapmaya (Jade Sleet) kadar değişebilen farklı biçimler aldığını belirtmekte fayda var.
Radiant Capital’i hedef alan saldırı da farklı değildi; tehdit aktörü, Eylül ayında Telegram’da şirketin bir geliştiricisine güvenilir eski bir yüklenici gibi davranarak ve görünüşte akıllı sözleşmeyle ilgili yeni bir kariyer fırsatının parçası olarak çalışmaları hakkında geri bildirim talep ederek yaklaşmıştı. denetleme.
Mesaj, bir PDF dosyası içeren ZIP arşivine bir bağlantı içeriyordu; bu bağlantı, kurbana sahte bir belge görüntülemenin yanı sıra, aynı zamanda uzak bir sunucuyla gizli iletişimler kuran INLETDRIFT kod adlı bir macOS arka kapısı sağladı (“atokyonews”)[.]com”).
Radiant Capital, “Saldırganlar birden fazla geliştirici cihazını tehlikeye atmayı başardı” dedi. “Ön uç arayüzler zararsız işlem verilerini görüntülerken, arka planda kötü amaçlı işlemler imzalanıyordu. Geleneksel kontroller ve simülasyonlar hiçbir belirgin tutarsızlık göstermedi, bu da tehdidin normal inceleme aşamalarında neredeyse görünmez olmasını sağladı.”