Güney Kore’deki Ulusal Polis Teşkilatı bugün, değerli teknoloji bilgilerini çalmak amacıyla savunma sanayi kuruluşlarını hedef alan Kuzey Koreli bilgisayar korsanlığı grupları hakkında acil bir uyarı yayınladı.
Polis, Güney Kore’deki savunma şirketlerine yönelik, tamamı Kuzey Kore hackleme aygıtının parçası olan Lazarus, Andariel ve Kimsuky hack gruplarının dahil olduğu birçok başarılı ihlal örneğini keşfetti.
Duyuruya göre saldırganlar, hedeflerin veya alt yüklenicilerinin ortamlarındaki güvenlik açıklarından yararlanarak veri sızdırabilecek kötü amaçlı yazılımlar yerleştirerek kuruluşlara ihlalde bulundu.
Ulusal Polis Teşkilatı ve Savunma Tedarik Programı İdaresi, bu yılın başlarında 15 Ocak ile 16 Şubat tarihleri arasında özel bir denetim gerçekleştirdi ve kritik ağların güvenliğini sağlamak için koruyucu önlemler uyguladı.
Bu özel operasyon, 2022’nin sonlarından bu yana güvenliği ihlal edilen ancak yetkililer bilgilendirilene kadar ihlalden habersiz olan birden fazla şirketin ortaya çıkarıldığını ortaya çıkardı.
Çeşitli saldırılar
Polis raporu, söz konusu bilgisayar korsanlığı gruplarının her biriyle ilgili üç vakayı öne çıkarıyor ve savunma teknolojisini çalmayı amaçlayan çok yönlü saldırı yöntemlerini gösteriyor.
Lazarus bilgisayar korsanları, test etmek için tasarlanmış, kötü yönetilen ağ bağlantı sistemlerinden yararlandı ve Kasım 2022’den bu yana bir savunma şirketinin iç ağlarına sızdı.
Ağa sızdıktan sonra firmanın en az altı bilgisayarında saklanan kritik verileri toplayıp yurt dışındaki bir bulut sunucusuna aktardılar.
Kore polisi
İkinci saldırı, savunma taşeronlarına hizmet veren bir bakım şirketinin bir çalışanından hesap bilgilerini çalan Andariel grubuna atfedildi.
Ekim 2022’de çalınan bu hesabı kullanarak, bu taşeronların sunucularına kötü amaçlı yazılım yüklediler ve bu da savunmayla ilgili teknik verilerin önemli ölçüde sızmasına yol açtı.
Bu ağ sızması, çalışanların kişisel ve iş hesapları için aynı şifreleri kullanması nedeniyle daha da kötüleşti.
Kore polisi
Polisin tavsiyesinde vurgulanan üçüncü bir saldırı olan Kimsuky, Nisan ve Temmuz 2023 arasında bir savunma alt yüklenicisinin e-posta sunucusundaki bir güvenlik açığından yararlandı ve bu güvenlik açığından yararlanarak büyük dosyaların kimlik doğrulamaya gerek kalmadan indirilmesine izin verildi.
Bu güvenlik açığı, şirketin dahili sunucusundan önemli teknik verileri indirmek ve çalmak için kullanıldı.
Kore polisi
Kore polisi, hem savunma şirketlerine hem de onların alt yüklenicilerine ağ güvenliği bölümlemesini iyileştirmelerini, periyodik şifre sıfırlamalarını, tüm kritik hesaplarda iki faktörlü kimlik doğrulamayı kurmalarını ve yabancı IP erişimlerini engellemelerini tavsiye ediyor.