Siber Savaş / Ulus Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suç, Coğrafi Odak: Asya
Casusluk Grupları Etki Alanını Genişletmek İçin Yazılım Tedarik Zincirindeki Güvenlik Açıklarını Kullandı
Jayant Chakravarti (@JayJay_Tech) •
6 Ağustos 2024
Güney Kore hükümet kurumları Pazartesi günü yaptığı açıklamada, Kuzey Kore’nin önde gelen iki hacker grubunun Kimsuky ve Andariel’in, ülkenin şehirlerini ve fabrikalarını modernize etmesine yardımcı olmak için gizli bilgileri çalmak amacıyla Ocak ayından bu yana Güney Kore’nin inşaat ve makine sektörlerini hedef aldığını bildirdi.
Ayrıca bakınız: Finansal Hizmetlere Yönelik Daha Fazla Hedefli Saldırı Görmeyi Bekliyoruz
Güney Kore Ulusal Polis Teşkilatı, Ulusal İstihbarat Servisi ve Siber Operasyonlar Komutanlığı da dahil olmak üzere çeşitli kurumlar, ortak siber güvenlik duyurusunda, iki Kuzey Koreli siber casusluk grubu olan Kimsuky ve Andariel’in, inşaat ve makine organizasyonlarının sistemlerine virüs bulaştırmak için web sitesi ve yazılım tedarik zincirindeki güvenlik açıklarını kullandığını bildirdi.
Saldırılar, Ocak ayında Yüksek Halk Meclisi’nin her yıl 20 şehir ve ilçede modern endüstriyel fabrikalar inşa etme kararının ardından gerçekleşti. Ajans, “Kuzey Kore’nin siyasi partisi, ordusu ve hükümeti politikaları uygulamak için çok çalışıyor ve Kuzey Koreli bilgisayar korsanlığı örgütleri de farklı değil” dedi.
Black Banshee, APT43 ve Ruby Sleet olarak da bilinen Kimsuky grubunu da içeren bu saldırılardan birinde, Ocak ayında bir dosya yükleme güvenlik açığından yararlanan bilgisayar korsanları, inşaat ve tasarım uzmanları tarafından sıkça ziyaret edilen önemli bir inşaat sektörü web sitesini tehlikeye attı.
Kurumlar, grubun ziyaretçilerin web sitesine giriş yapmak için kullandığı bir güvenlik kimlik doğrulama sistemine kötü amaçlı kod yerleştirdiğini ve ele geçirilen web sitesini, web sitesine erişen yerel yönetimler, kamu kurumları ve inşaat şirketlerinin bilgisayarlarına virüs bulaştırmak için bir “sulama yeri” olarak kullandığını söyledi.
Bilgisayar korsanları, antivirüs yazılımları ve tarayıcılar tarafından algılanmayı atlatmak için D2Innovation tarafından verilen meşru bir sertifika ile değiştirilmiş kimlik doğrulama yazılımını imzaladı. Bir kullanıcı kötü amaçlı yazılımı yüklediğinde, %APPDATA% yolunda kötü amaçlı kod çalıştırdı ve Google Chrome ve Microsoft Edge gibi popüler tarayıcılardan kimlik bilgilerini, çerezleri, yer imlerini, geçmişi, GPKI sertifikalarını, SSH kimlik doğrulama anahtarlarını ve Yapışkan Notları toplayan kötü amaçlı yazılım yükledi.
Kurumlar, “Üst düzey web sitesinin dağıtım kanalı olarak kullanıldığı ve bilgi çalan kötü amaçlı yazılımın GPKI sertifika hırsızlığı işlevi içerdiği göz önüne alındığında, inşaat sektöründeki kamu görevlilerinin hacklenmesinin, büyük inşaat projeleri ve projeye katılan inşaat şirketlerinin teknik verileri hakkında bilgi çalmak için bir köprübaşı olarak kullanıldığı varsayılmaktadır” dedi.
Yetkililer ayrıca, kurumsal ağlara sızmak ve bilgi çalmak için kurumsal yazılım ve web sunucularındaki güvenlik açıklarını silah olarak kullandığı bilinen siber casusluk grubu Andariel’in, sistemlerini ve ağlarını güvence altına almak için uygulamayı kullanan kuruluşları enfekte etmek için yerel bir güvenlik yazılım programındaki yetersiz kimlik doğrulama açığını kullandığını gözlemledi.
Onyx Sleet ve Dark Seoul olarak da izlenen Andariel, kurbanların cihazlarındaki VPN istemcisine güvenlik yazılımının kötü amaçlı bir güncellemesini göndermek için bir komuta ve kontrol sunucusu kullandı ve en sonunda güncelleme sürecini kullanarak enfekte olmuş sistemlere Dora uzaktan erişim Truva Atı enjekte etti. Uzaktan erişim Truva Atı, enfekte olmuş sisteme dosya yükleyebilir ve indirebilir ve bilgisayar korsanı tarafından kontrol edilen C2 sunucusu tarafından talimat verildiğinde kötü amaçlı kod çalıştırabilir.
Casusluk grubu ayrıca, makine ve inşaat ekipmanlarına ilişkin ayrıntılı tasarım kodları ve çizimleri olmak üzere büyük dosyaları çalabilen özel dosya çalma zararlı yazılımını da enjekte etti.
Son siber güvenlik uyarısı, Temmuz ayının başlarında ABD, İngiltere ve Güney Kore hükümet kuruluşlarının Andariel’i, Kim Jong Un rejiminin askeri ve nükleer hedeflerini ilerletmek için Batı’nın nükleer ve askeri teknolojilerini çalmak amacıyla kendi savunma, havacılık ve enerji sektörlerini hedef almakla suçladığı benzer bir uyarının ardından geldi (bkz: Kuruluşlar Kuzey Kore’nin Nükleer Tesislere Yönelik Saldırıları Konusunda Uyarıyor).
Hükümet yetkilileri, grubun son yıllarda Kuzey Kore’nin silah geliştirme yeteneklerini desteklemek amacıyla savaş tankları, topçu silahları, küçük savaş gemileri, denizaltılar ve su altı araçları, savaş uçakları ve uydular gibi askeri sistemlerle ilgili gizli teknik bilgileri aktif olarak takip ettiğini söyledi.
Siber güvenlik şirketi Zscaler da Kimsuky’yi, Mart ayından bu yana Kuzey Kore meseleleri hakkında araştırma yapan Güney Koreli akademik kurumlardan hassas bilgileri sızdırmak için kötü amaçlı bir Google Chrome eklentisi kullanmakla suçladı (bkz: Kimsuky Grubu Mağdurların Verilerini Çalmak İçin Chrome Eklentileri Kullanıyor).