ABD sağlık ve halk sağlığı sektöründeki kuruluşlar, fidye yazılımı ve diğer saldırılar yoluyla casusluk faaliyetlerini finanse etmek isteyen devlet destekli Kuzey Koreli siber tehdit aktörlerinin en önemli hedefleri arasında yer alıyor.
Bu, ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatının (CISA), FBI’ın, ABD Sağlık ve İnsan Hizmetleri Departmanının ve Güney Kore istihbarat teşkilatlarının değerlendirmesidir. Grup, 9 Şubat’ta ortak bir danışma belgesinde, Kuzey Kore hükümetinin bu fidye yazılımı saldırılarından elde ettiği gelirleri – kripto para birimi biçiminde – ABD ve Güney Kore savunma sektörü ve savunma sanayi üs kuruluşlarına casusluk dahil diğer siber operasyonları finanse etmek için kullandığını açıkladı.
Bir Görevle Devlet Destekli Fidye Yazılım Saldırıları
Danışmanlık, “Yazarlık ajansları, bu kripto para birimi operasyonlarından elde edilen belirsiz miktarda gelirin DPRK ulusal düzeydeki önceliklerini ve hedeflerini desteklediğini değerlendiriyor” dedi.
Uyarı ayrıca sağlık ve kritik altyapı sektörlerindeki fidye yazılımı kurbanlarını fidye ödemeye karşı uyardı. Bunu yapmak, dosyaların ve kayıtların kurtarılacağını garanti etmez ve yaptırım riskleri oluşturabilir” dedi.
Danışma belgesinde, bunun yeni tehdit istihbaratından mı yoksa yakın saldırılarla ilgili bir haberden mi kaynaklandığını gösteren çok az şey var. Ancak bu, genel olarak sağlık kuruluşlarına yönelik fidye yazılımı saldırılarında devam eden bir artışın ortasında geliyor. Journal of the American Medical Association (JAMA) tarafından bu yılın başlarında yayınlanan bir rapor, 2016 ile 2021 yılları arasında sağlık kurumlarına yönelik fidye yazılımı saldırılarının sayısının ikiye katlandığını tespit etti. O dönemde ABD sağlık kuruluşlarına yönelik toplam 374 fidye yazılımı saldırısının yaklaşık %44’ü, sağlık hizmeti dağıtımını kesintiye uğrattı.
En yaygın kesintiler arasında sistemlerin kapalı kalma süresi, planlanmış bakımın iptal edilmesi ve ambulans yönlendirmeleri vardı. JAMA’nın çalışması, özellikle 2016 ile 2021 yılları arasında birden fazla tesise sahip büyük sağlık kuruluşlarına yönelik fidye yazılım saldırılarında artış olduğunu tespit etti.
Sophos’un Haziran 2022 tarihli bir raporu, sağlık kuruluşlarının %66’sının 2021’de en az bir fidye yazılımı saldırısı yaşadığını gösterdi. Bu saldırıların yüzde altmış biri, saldırganların verileri şifrelemesi ve şifre çözme anahtarı için fidye talep etmesiyle sona erdi.
Sophos, “Sağlık hizmetleri, sektörler arası ortalama sırasıyla %57 ve %59’a kıyasla siber saldırıların hacminde (%69) ve siber saldırıların karmaşıklığında (%67) en yüksek artışı gördü.”
Yeni İstihbarat, Yeni Taktikler
CISA’nın bu haftaki en son siber güvenlik danışmanlığı, Kuzey Kore’den ABD sağlık ve halk sağlığı sektörüne yönelik devlet destekli fidye yazılımı saldırılarına ilişkin önceki kılavuzunu güncelliyor. Kuzey Koreli siber aktörlerin şu anda sağlık hizmetleri hedeflerine yönelik fidye yazılımı saldırıları gerçekleştirirken kullandıkları çok sayıda taktik, teknik ve prosedürün (TTP’ler) altını çizdi. TTP’lerin çoğu, fidye yazılımı saldırılarında gözlemlenenlere özgüdür ve yanal hareket ve varlık keşfi gibi taktikleri içerir.
Danışma belgesi ayrıca, Kuzey Koreli aktörlerin sağlık kuruluşlarına yönelik saldırılarda kullandıkları birkaç fidye yazılımı aracını ve ilişkili uzlaşma göstergelerini (IoC’ler) vurguladı. Bunların arasında Maui ve H0lyGh0st gibi özel olarak geliştirilmiş değişkenler ve BitLocker, Deadbolt, Jogsaw ve Hidden Tear gibi halka açık şifreleme araçları vardı.
Danışma belgesi, “Bazı durumlarda, DPRK aktörleri kendilerini REvil fidye yazılımı grubu gibi diğer fidye yazılımı grupları olarak tasvir ettiler” dedi.
CISA ve diğerleri, Kuzey Koreli aktörlerin diğer bağlı kuruluşlar ve yabancı üçüncü taraflarla çalışarak katılımlarını gizlemenin yanı sıra, kampanyalarını yürütmek için sıklıkla sahte alan adları, kişiler ve hesaplar kullandığını söyledi. “Kuzey Kore siber aktörleri, KDHC yerine zararsız yerlerden geliyormuş gibi görünmek için sanal özel ağları (VPN’ler) ve sanal özel sunucuları (VPS’ler) veya üçüncü ülke IP adreslerini kullanacak.”
Danışma belgesi, Kuzey Kore’deki devlet destekli grupların fidye yazılımı saldırılarında istismar ettiği bazı yeni yazılım güvenlik açıklarının altını çizdi. Bunların arasında Apache Log4j çerçevesindeki (CVE-2021-44228) Log4Shell güvenlik açığı ve SonicWall cihazlarındaki birden çok güvenlik açığı vardı.
CISA’nın Kuzey Kore tehdidine karşı tavsiye ettiği hafifletme önlemleri, daha güçlü kimlik doğrulama ve erişim kontrolünü, en az ayrıcalık ilkesinin uygulanmasını, bekleyen verileri korumak için şifreleme ve veri maskelemeyi kullanmayı ve toplama, depolama ve işleme sırasında korunan sağlık bilgilerini güvence altına almayı içeriyordu.
Danışmanlık belgesi ayrıca sağlık kuruluşlarının izole yedeklemeler yapmalarını, bir olay müdahale planı geliştirmelerini, işletim sistemlerini ve uygulamalarını güncellemelerini ve uzak masaüstü protokolünü (RDP) ve diğer uzaktan erişim mekanizmalarını izlemelerini istedi.