Ulusal Polis Ajansı Çarşamba günü yaptığı açıklamada, Kuzey Koreli hackerların Güney Kore’nin askeri istihbarat komutanlığının sıkıyönetim kargaşası sırasında iletişimini taklit eden üç aylık bir kampanya üzerinden yaklaşık 18.000 kişiye 120.000’den fazla kimlik avı e-postası gönderdiğini söyledi.
Kampanya Kasım 2024’te başladı ve birleşme, savunma, ulusal güvenlik ve dışişleri sektörlerinde profesyonelleri hedefleyen Ocak 2025’e kadar devam etti. Polis, geçmiş operasyonlara bağlı kimlik avı altyapısı, IP adresleri ve dil kalıplarının adli analizi yoluyla Kuzey Kore’nin katılımını doğruladı.
Ajansın siber terörizm birimi başkanı Kim Young-woon, “Soruşturmamız, Kuzey Kore’nin 11 Aralık 2024’te dağıtılan e-postaların arkasında olduğunu ve ‘Savunma Sorumluluğu Komutanlığı Sıkıyönetim Belgelerinin ifşa edilmesi’ ‘olduğunu doğruladı. Kim, “Tarihsel olarak, analistleri veya uzmanları taklit eden el yapımı e-postalar göndererek jeopolitik tahminler veya Yeni Yıl konuşma analizleri sunacaktı” dedi. “Şimdi, süreci otomatikleştirdiler ve kütle dağıtımını sağladılar.”
Yetkililer, en az 570 kişinin kimlik avı yemini tıkladığını ve e -postalar ve iletişim listeleri de dahil olmak üzere muhtemel hassas verileri açığa çıkardığını söyledi.
Geri dönüştürülmüş altyapı ve hedefli aldatma
Bilgisayar korsanları, yabancı sağlayıcılar aracılığıyla kiralanan 15 denizaşırı sunucu kullandı ve gerçek zamanlı metrikleri izleyebilen özel olarak inşa edilmiş kötü amaçlı yazılım kullandı. Müfettişler, bir info-stealer gibi görünen kötü amaçlı yazılımların e-postaların açılıp açılmadığını, kullanıcıların gömülü bağlantılara tıkladığı ve hesap kimlik bilgilerini gönderip göndermediklerini izlediğini söyledi.
Kuzey Kore daha önce devlet destekli siber saldırılarda tanımlanmış sunucular yeniden kullanıldı. Altyapı ayrıca Kuzey Koreli defektör verileri ve Güney Kore askeri bilgileri için arama kanıtı gösterdi. Tarayıcı günlükleri Kuzey Kore lehçelerini, ilişkilendirmeyi güçlendirmeyi içeriyordu.
Her kimlik avı e -postası hükümet uyarılarını veya resmi iletişimi taklit etti. Konu satırları arasında sahte askeri belgeler, Yeni Yıl politika analizleri ve hatta Güney Koreli ünlülerin konserlerine davetiyeler vardı. Diğerleri vergi iadesi, burç okumaları veya sağlık tavsiyeleri olarak poz vermiştir.
Sıkıyönetim dağıtımının kisvesi altına yayılmış aldatıcı bağlantılar
E -postalar, kullanıcıları Naver, Kakao ve hatta Google gibi büyük Güney Kore web hizmetlerine çok benzeyen sahte oturum açma portallarına yönlendirdi. Alan adları, ince yazım hataları veya karakter swapları içeriyordu – googlauth.com– naver-auth.comveya baernin.com.
Birçok e -posta adresinin hükümet alanlarından geldiği veya kişisel kişilere çok benzediği görülmüştür. Sahtekarlık yöntemleri şunları içerir:
Gibi terimler eklemek
-news–-noreplyveya-reportmeşru alan adlarına.Arkadaşlarının veya meslektaşlarının adreslerini ince varyasyonlarla taklit etmek (örneğin, tek bir harf eklemek).
Ortak yazımlarla benzer alan adlarını kullanmak (
mgibirnveyaco.krdeğişmişco.kro.kr).
17.744 alıcıdan 120 kişi kimlik avı girişimine düştü, kimlik bilgilerine girdi ve saldırganlara gelen kutusu içeriğine ve depolanan iletişim bilgilerine erişim sağladı.
Halka uyarılar
Güney Kore hükümeti halkı, özellikle resmi iletişim olarak gizlenmiş olanlara, kimlik avı tehditlerine karşı uyanık kalmaya çağırdı. Yetkililer, tanıdık olmayan e -postalar açmaya, şüpheli bağlantıları tıklamaya veya doğrulanmamış ekleri indirmeye tavsiye ettiler.
Polis, “Talebin meşruiyetini doğrulamadan asla kimliğinizi veya şifrenizi girmeyin” diye uyardı. “E -posta gönderen ve web sitesi alanına dikkatlice bakın. Küçük farklılıklar bile sahtekarlığa işaret edebilir.”
Yetkililer ayrıca, hesap giriş geçmişlerini düzenli olarak gözden geçirmenizi ve mümkün olan her yerde çok faktörlü kimlik doğrulamasını etkinleştirmenizi önerdi.
Koordineli, kalıcı bir tehdit
Soruşturma, kimlik avı kampanyasının Kuzey Kore’nin siber oyun kitabında daha geniş bir modeli yansıtarak hem iyi organize edilmiş hem de sürekli olduğunu gösterdi. Pyongyang ile bağlantılı önceki olaylar arasında kripto para birimi platformlarına yönelik saldırılar, savunma sektörlerini hedefleyen casusluk çabaları ve küresel dezenformasyon operasyonları yer alıyor.
Güney Koreli yetkililer, her türlü siber saldırganlığa kararlı bir şekilde yanıt vermeye hazır olduklarını yinelediler. Polis, uluslararası ortaklar ve yerel siber güvenlik ajansları ile gelişmiş koordinasyon sözü verdi.
Polis şefi, “Tüm kolluk kuvvetlerimizi seferber ediyoruz” dedi. “Siber teller, özellikle de düşman ülkelerle bağlantılı olanlar, hızlı ve güçlü yanıtlarla karşılanacak.”
Halkın ifşası haklı
Güney Kore’nin cezai soruşturmalarla ilgili kamuoyu bilgileri kurallarına göre, dava benzer saldırıları önlemeye yardımcı olmak için medyaya açıklandı. Hükümet iki gerekçeye atıfta bulundu:
Bu açıklama, vatandaşları gelişmiş siber tehditler olmak üzere, özellikle ulusal güvenlik ve kamu kurumlarını içerenleri bilgilendirme çabalarına uygundur.
Devam eden soruşturmalar
Siber güvenlik uzmanları Kuzey Kore’nin altyapısını ve taktiklerini izlemeye devam ettikçe soruşturma açık kalıyor. Güney Kore’nin siber terör müdahale bölümü Kore İnternet ve Güvenlik Ajansı (KISA) ve diğer uluslararası paydaşlarla yakın bir şekilde çalışmaktadır.
Polis, derhal ulusal yetkililere bildirmek ve e -postayla herhangi bir şekilde etkileşim kurmaktan kaçınmak için sahte bir mesaj aldıklarından şüphelenen herkesi çağırdı.
Polis, “Siber güvenlik kolektif bir çaba” dedi. “Her rapor, bu kötü niyetli kampanyalara karşı daha güçlü bir savunma oluşturmamıza yardımcı oluyor.”
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.