Google Cloud’un Mandiant’ındaki siber araştırmacılar, yıllardır Andariel, namıdiğer Onyx Sleet, Plutonium ve Silent Chollima olarak takip edilen bir Kuzey Kore siber tehdit bağlantısını resmi bir gelişmiş sürekli tehdit (APT) grubuna yükseltti ve Kuzey Kore’nin nükleer silah edinme çabalarını sürdürürken, yakından korunan atom sırlarını ve teknolojisini hedef aldığı konusunda uyardı.
2009’dan beri faaliyette olan ve Lazarus hackleme operasyonuyla bir şekilde bağlantıları olabileceği düşünülen yeni isimlendirilen APT45, kapsam ve teknoloji açısından orta düzeyde gelişmiş olarak tanımlanıyor.
Çalışmalarına finansal olarak motive olmuş bir operatör olarak başladı – birçok Kuzey Kore grubu gibi, birincil hedefi hastalıklı, izole rejimi finanse etmek için sermaye çalmak – şüpheli geliştirmesi ve fidye yazılımı kullanımı onu diğerlerinden ayırıyor. Mandiant, APT45 kümeleri tarafından Maui ve Shatteredglass fidye yazılımı türlerinin kullanıldığına dair kanıtlara atıfta bulundu, ancak bunu kesin olarak kanıtlayamadı.
Mandiant, APT45’in son dönemde bitki bilimi, sağlık ve ilaç gibi diğer alanlara yöneldiğinin ve son zamanlarda da zamanının çoğunu askeri konularla meşgul ettiğinin güvenle bilindiğini söyledi.
Mandiant baş analisti Michael Barnhart, “Kuzey Kore’nin son yıllardaki askeri kabiliyetlerindeki birçok ilerleme, doğrudan APT45’in dünya çapındaki hükümetlere ve savunma örgütlerine karşı başarılı casusluk çabalarına atfedilebilir” dedi. “Kim Jong Un daha iyi füzeler talep ettiğinde, onun için planları çalan adamlar bunlardır.”
APT45, faaliyetlerinde kamuya açık saldırı araçları ile modifiye edilmiş ve özel kötü amaçlı yazılım türlerinin bir karışımını tercih ediyor.
Araç kütüphanesi diğer Kuzey Kore APT’lerinden biraz farklı görünse de, kötü amaçlı yazılımının kod yeniden kullanımı, benzersiz özel kodlama ve parolalar gibi bazı ortak özellikleri bulunuyor.
FBI operasyonu
Mandiant, son birkaç haftadır FBI ve diğer ABD kurumlarıyla birlikte çalışarak APT45’in ABD ve diğer ülkelerden (İngiltere, Fransa, Almanya ve Güney Kore’nin yanı sıra Brezilya, Hindistan ve Nijerya) savunma ve araştırma istihbaratı edinme çabalarını izlemek için “aktif olarak” yoğun bir çaba içinde yer alıyor.
APT45’in görevlerinde ağır ve hafif tanklar; kundağı motorlu obüsler; hafif saldırı ve mühimmat ikmal araçları; kıyı muharebe gemileri ve savaş tekneleri; denizaltılar; torpidolar ve insansız ve otonom su altı araçları; modelleme ve simülasyon teknolojisi; savaş uçakları ve insansız hava araçları; füzeler ve füze savunma sistemleri; uydular, uydu haberleşmeleri ve ilgili teknolojiler; gözetleme ve faz dizili radar sistemleri; gemi yapımı, robotik, 3 boyutlu baskı, döküm, imalat, metal, plastik ve kauçuk kalıplama ve işleme süreçleri dahil olmak üzere üretim alanlarını hedef aldığı düşünülmektedir.
Daha da endişe verici olanı, grubun uranyum zenginleştirme ve işleme, atık ve depolama, nükleer santraller, tesis ve araştırmaları da hedef almasıdır.
Barnhart, “APT45 etik kaygılarla bağlı değil ve hastaneler de dahil olmak üzere hedeflerine ulaşmak için herhangi bir kuruluşu hedef almaya istekli ve çevik olduklarını gösterdiler” dedi. “Bu kalıcı ve gelişen tehdide karşı koymak için hem kamu hem de özel sektörleri içeren koordineli bir küresel çaba gereklidir.”