Devlet destekli Kuzey Koreli bilgisayar korsanı grubu Kimsuky (namı diğer APT43), düşünce kuruluşlarından, araştırma merkezlerinden, akademik kurumlardan ve çeşitli medya kuruluşlarından istihbarat toplamak amacıyla hedef odaklı kimlik avı kampanyaları için gazetecileri ve akademisyenleri taklit ediyor.
Uyarı, bilgisayar korsanlarının faaliyetlerini izleyen ve grubun saldırılar için kullandığı son kampanyaları ve temaları analiz eden ABD ve Güney Kore’deki çok sayıda devlet kurumundan geliyor.
Federal Soruşturma Bürosu (FBI), ABD Dışişleri Bakanlığı, Ulusal Güvenlik Teşkilatı (NSA), Güney Kore Ulusal İstihbarat Teşkilatı (NIS), Ulusal Polis Teşkilatı (NPA) ve Dışişleri Bakanlığı’ndan ( MOFA), Kimsuky’nin Kuzey Kore’nin Genel Keşif Bürosu’nun (RGB) bir parçası olduğunu belirtiyor.
Thallium ve Velvet Chollima olarak da bilinen Kimsuky, en az 2012’den beri ulusal istihbarat hedeflerini destekleyen büyük ölçekli casusluk kampanyaları yürütüyor.
“Hedeflenen bazı kuruluşlar, ya araştırmalarını ve iletişimlerini doğası gereği hassas olarak algılamadıkları ya da bu çabaların rejimin daha geniş siber casusluk çabalarını nasıl körüklediğinin farkında olmadıkları için bu sosyal mühendislik kampanyalarının oluşturduğu tehdidi göz ardı edebilirler.” danışma
“Fakat, […] Kuzey Kore, politika analistlerinden ödün vererek elde edilen istihbarata büyük ölçüde güveniyor […] (ve) başarılı tavizler, Kimsuky aktörlerinin daha hassas, daha yüksek değerli hedeflere karşı kullanılabilecek daha güvenilir ve etkili hedef odaklı kimlik avı e-postaları oluşturmasını sağlıyor.”
Gazeteciler olarak kimlik avı
Kimsuky bilgisayar korsanları, gerçek kişilerinkine çok benzeyen e-posta adreslerini kullanarak ve hedefle iletişim için inandırıcı, gerçekçi içerikler oluşturarak hedefli kimlik avı saldırılarını titizlikle planlar ve yürütür.
Danışma kurulu, “On yılı aşkın bir süredir, Kimsuky aktörleri sosyal mühendislik tekniklerini iyileştirmeye devam etti ve hedef odaklı kimlik avı çabalarını fark etmeyi giderek zorlaştırdı” uyarısında bulunuyor.
Çoğu durumda bilgisayar korsanları, Kore yarımadasındaki güncel siyasi olaylar, Kuzey Kore silah programı, ABD görüşmeleri, Çin’in duruşu ve daha fazlası hakkında bilgi almak için gazetecileri ve yazarları taklit eder.
Gözlenen temalar arasında sorgulamalar, görüşme davetleri, devam eden bir anket ve rapor veya belge incelemesi talepleri yer alıyor.
İlk e-postalar genellikle kötü amaçlı yazılım veya herhangi bir ek içermez, çünkü görevleri hızlı bir uzlaşma sağlamak yerine hedefin güvenini kazanmaktır.
Hedef bu e-postalara yanıt vermezse, Kimsuky birkaç gün sonra bir takip mesajıyla geri döner.
FBI, rakibin çabalarına rağmen, İngilizce e-postaların bazen bir cümle yapısına sahip olduğunu ve kurbanın çalınan yasal bağlantılarla önceki iletişiminden tüm alıntıları içerebileceğini söylüyor.
kaynak: ABD Hükümeti
Hedef Güney Koreli olduğunda, kimlik avı mesajı farklı bir Kuzey Kore lehçesi içerebilir.
Ayrıca, kimlik avı e-postaları göndermek için kullanılan adresler, meşru kişi veya kuruluşların adreslerini taklit eder; ancak, her zaman ince yazım hataları içerirler.
Kimsuky nasıl durdurulur?
Danışmanlık belgesi, hesapları korumak için güçlü parolalar kullanmayı ve çok faktörlü (MFA) kimlik doğrulamayı etkinleştirmeyi içeren bir dizi hafifletme önlemi sağlar.
Ek olarak, kullanıcıların, mesajların iddiası ne olursa olsun, bilinmeyen kişiler tarafından gönderilen e-postalardaki belgelerde makroları etkinleştirmemeleri önerilir.
Bilinen bulut barındırma hizmetlerinden gönderilen belgelerde de aynı dikkat gösterilmelidir, çünkü platformların meşruluğu bu dosyaların güvenliğini garanti etmez.
Bir medya grubundan veya gazeteciden geldiği iddia edilen bir mesajdan şüpheye düştüğünüzde, söz konusu kuruluşun resmi web sitesini ziyaret edin ve iletişim bilgilerinin geçerliliğini onaylayın.
Ortak danışma belgesi, daha fazla iletişim kurmaya karar vermeden önce potansiyel kimliğe bürünmeye ilişkin herhangi bir belirsizliği dağıtmak için etkili bir strateji olarak bir ön görüntülü arama yapılmasını önerir.