Kripto Para Dolandırıcılığı, Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar
Mandiant, Tehdit Aktörü Finansal Motivasyonuyla Kripto Para Birimine Odaklanıyor
Bay Mihir (MihirBagwe) •
20 Temmuz 2023
Perşembe günü kurumsal yazılım şirketi JumpCloud, müşteri ortamındaki son ihlali ilişkilendirdikten günler sonra, finansal olarak kripto para birimini çalmak için motive olmuş gibi görünen bir Kuzey Koreli ulus devlet aktörünün olaya karıştığını doğruladı.
Ayrıca bakınız: İsteğe Bağlı | Bankacılıkta İçeriden Gelen Tehditleri Ele Alma Sınırlamalarını Aşmak: Gerçek Güvenlik Zorlukları için Gerçek Çözümler
JumpCloud Baş Bilgi Güvenliği Sorumlusu Bob Phan, “beşten az JumpCloud müşterisinin… ve toplamda 10’dan az cihazın etkilendiğini” doğruladı.
Bob, şirketin çeşitli kimlik, erişim, güvenlik ve yönetim işlevleri için JumpCloud platformuna güvenen 200.000’den fazla kuruluşa hizmet verdiğini ve saldırının son derece hedefli ve belirli müşterilerle sınırlı olduğunu ifşa etmenin önemli olduğunu söyledi.
Bob, “Etkilenen tüm müşteriler doğrudan bilgilendirildi” dedi. Soruşturmanın devam ettiğini ve ABD federal kolluk kuvvetleri ve özel siber güvenlik firması CrowdStrike’ın adli tıp ve olaylara müdahale faaliyetlerinde yardımcı olduğunu da sözlerine ekledi.
Finansal Motivasyona Sahip Aktör
JumpCloud, cerrahi saldırının arkasındaki tehdit aktörünün adını vermese ve Crowdstrike, “aktif angajman”a atıfta bulunarak yorum yapmaktan kaçınırken, Reuters, Crowdstrike’ın istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers’in hackerları, CrowdStrike tarafından takip edilen ve en azından 2009’dan beri aktif olan Kore Demokratik Halk Cumhuriyeti’nin en üretken düşmanlarından biri olan “Labyrinth Chollima” olarak tanımladığını aktardı.
Şu anda JumpCloud izinsiz girişinin tehlikeye attığı aşağı akış kurbanlarından biriyle çalışan başka bir siber güvenlik firması Mandiant da saldırıyı Kuzey Koreli bilgisayar korsanlarına bağladı.
Mandiant’ın kıdemli olay müdahale danışmanı Austin Larsen, Information Security Media Group’a şunları söyledi: “Mandiant, bunun DPRK’nın Genel Keşif Bürosu içinde kripto para birimi odaklı bir unsur olduğunu yüksek bir güvenle değerlendiriyor. [RGB]kimlik bilgileri ve keşif verileri elde etmek için kripto para birimi sektörlerine sahip şirketleri hedefliyor.”
Ayrıca bunun, Mandiant’ın kripto para birimi endüstrisini ve çeşitli blok zinciri platformlarını giderek daha fazla hedef aldığını gördüğü finansal olarak motive olmuş bir tehdit aktörü olduğunu belirtti. Larsen, “Kuzey Kore’nin siber altyapısının harmanlanması ve paylaşılması, ilişkilendirmeyi çoğu zaman zorlaştırıyor, ancak hedefleme tutarlı olmaya devam ediyor” dedi.
Mitre’ye göre Labyrinth Chollima, kötü şöhretli Kuzey Koreli Lazarus Grubu ile yakından ilişkilidir ve taktikleri ve teknikleri genellikle örtüşür. JumpCloud tarafından yakın zamanda paylaşılan uzlaşma göstergelerini inceleyen SentinelOne Kıdemli Tehdit Araştırmacısı Tom Hegel tweet attı “JumpCloud saldırı IOC’lerini Kuzey Koreli tehdit aktörlerine atfetme konusunda kendinden son derece emin” ve doğruluğu kesin olarak belirlemek için daha fazla ayrıntıya ihtiyaç duyulsa da Lazarus’un işin içinde olabileceğinden şüpheleniyor.
Hegel bir blog yazısında uzlaşma göstergelerini KDHC’ye atfedilen APT altyapısına nasıl bağladığını açıkladı.
Hegel, “Kuzey Koreli tehdit aktörlerinin, hedeflenen ağlara sızmak için sürekli olarak yeni yöntemler uyarladığı ve keşfettiği açıktır.” Dedi. “JumpCloud izinsiz girişi, onların tedarik zinciri hedeflemesine yönelik eğilimlerinin açık bir örneği olarak hizmet ediyor ve bu da çok sayıda potansiyel müteakip izinsiz girişe yol açıyor. DPRK, verimli ağlara tedarik zinciri saldırıları gerçekleştirmek için bir pivot noktası olarak yüksek değerli hedefleri titizlikle seçmenin sağladığı faydaların derinden anlaşıldığını gösteriyor.”