Kuzey Koreli olmayan kişiler gibi görünen Kuzey Koreli BT çalışanları, rejimleri için gelir elde etmek amacıyla çeşitli endüstrilere sızıyor, yaptırımlardan kaçınıyor ve siber saldırılara olanak sağlamak için ayrıcalıklı erişimi kullanarak kitle imha silahı programlarını finanse ediyor.
Çoğunlukla Kuzey Koreli olmayan kolaylaştırıcılar, para aklama, şirket dizüstü bilgisayarlarına ev sahipliği yapma, çalıntı kimlikler kullanma ve çalışanların tespit edilmekten kurtulmalarına ve pozisyonlarını korumalarına yardımcı olan uluslararası finans sistemlerine erişim sağlayarak bu çalışanlara yardımcı oluyor.
UNC5267, başta ABD olmak üzere teknoloji sektöründe faaliyet gösteren ve Çin ve Rusya gibi yerlerden uzaktan faaliyet gösteren, iş başvuruları ve taşeron rolleri aracılığıyla ilk erişimi elde eden Batılı şirketlere sızmak için ele geçirilmiş kimlikleri kullanan bir Kuzey Kore tehdit grubudur.
İçeri girdiklerinde, çeşitli görevlerde bulunurlar ve sıklıkla aynı anda birden fazla pozisyonda bulunurlar. Amaçları arasında finansal kazanç, uzun vadeli ağ erişimi ve potansiyel casusluk veya yıkıcı faaliyetler yer alır.
Küçük İşletmelerin Gelişmiş Siber Tehditlere Karşı Nasıl Korunacağına Dair Ücretsiz Web Semineri -> Ücretsiz Kayıt
Araştırmacılar, DPRK BT çalışanlarının uzaktan BT pozisyonları elde etmek için sahte özgeçmişler kullandığı bir kampanyayı gözlemledi. Özgeçmişlerde ABD adresleri ile Kuzey Amerika dışı eğitim ve tekrar kullanılan içerik gibi tutarsızlıklar vardı.
İşe alındıktan sonra işçiler, muhtemelen Kuzey Kore’den Astrill VPN kullanarak GoToRemote ve TeamViewer gibi araçlarla bir dizüstü bilgisayar çiftliği üzerinden kurban şirketlerin dizüstü bilgisayarlarına uzaktan eriştiler ve iddia ettikleri ikametgahlarından farklı bir yere dizüstü bilgisayar gönderilmesini talep ederek gizlediler.
Kuruluşların DPRK BT çalışanlarını tespit etmek için sıkı inceleme süreçleri uygulaması önerildi. Bu süreçler, geçmiş kontrolleri için biyometrik bilgi talep etmeyi, kameralarla kapsamlı görüşmeler yapmayı ve noter tasdikli kanıtla kimliği doğrulamayı içerir.
Kuruluşlar ayrıca aday profillerindeki tutarsızlıkları tespit etmek ve yapay zekanın profil resimlerini değiştirip değiştirmediğini izlemek için İK departmanlarını eğitmeli; bu, kuruluşların Kuzey Koreli siber aktörlerin oluşturduğu tehdidi azaltmalarına yardımcı olabilir.
UNC5267 tehditlerini azaltmak için, VoIP kullanımı için telefon numaralarını doğrulamaları, dizüstü bilgisayar coğrafi konumunun bildirilen ikametgahla eşleştiğini teyit etmeleri, uzaktan yönetim araçlarını kısıtlamaları, VPN bağlantılarını izlemeleri ve fareyi sallayan yazılımları tespit etmeleri gerekiyor.
Ayrıca, dizüstü bilgisayar seri numaralarının doğrulanması, donanım tabanlı çok faktörlü kimlik doğrulamanın uygulanması ve IP tabanlı KVM’lerin kısıtlanması, yetkisiz erişime ve kötü amaçlı faaliyetlere karşı güvenliği güçlendirebilir.
Uzaktan çalışanların risklerini azaltmak için periyodik video kontrolleri uygulayın, sürekli güvenlik eğitimi sağlayın, tehdit istihbarat topluluklarıyla iş birliği yapın ve finansal işlemleri ABD bankalarıyla sınırlayın.
Kuzey Kore’nin BT işgücü, teknik yeterliliği, kaçınma taktikleri ve ikili motivasyonları nedeniyle önemli bir siber tehdit oluşturmaktadır. Bunlar arasında veri ihlallerinin artan sıklığı ve karmaşıklığı, fikri mülkiyet hırsızlığı ve kritik hizmetlerin kesintiye uğraması yer almaktadır.
Kuruluşlar bu tehdidi azaltmak için güçlü güvenlik önlemleri uygulamalı, çalışanların farkındalığını artırmalı, sektördeki meslektaşlarıyla iş birliği yapmalı ve gelişmiş tehdit tespit araçlarından yararlanmalıdır.
Mandiant, ortaklıklar ve istihbarat paylaşımı yoluyla bu çabaları aktif olarak destekliyor ve etkilenen kuruluşları öne çıkmaya ve Kuzey Kore siber operasyonlarına karşı kolektif savunmaya katkıda bulunmaya teşvik ediyor.
Herhangi birini analiz edinSuspicious Links Using ANY.RUN's New Safe Browsing Tool: Try It for Free