Firma ve siber güvenlik uzmanları, Kuzey Kore hükümeti destekli bir bilgisayar korsanlığı grubunun bir Amerikan BT yönetim şirketine sızdığını ve bunu kripto para şirketlerini hedef almak için bir sıçrama tahtası olarak kullandığını söyledi.
Bir blog gönderisinde, bilgisayar korsanlarının Haziran ayı sonunda Louisville, Colorado merkezli JumpCloud’a girdiğini ve şirketin sistemlerine erişimlerini “5’ten az” müşterisini hedeflemek için kullandığını söyledi.
JumpCloud etkilenen müşterileri tanımlamadı, ancak JumpCloud’a yardım eden siber güvenlik şirketleri CrowdStrike Holdings ve JumpCloud’un müşterilerinden birine yardım eden Mandiant, her ikisi de olaya karışan bilgisayar korsanlarının kripto para birimi hırsızlığına odaklandığının bilindiğini söyledi.
Konuya aşina olan iki kişi, bilgisayar korsanları tarafından hedef alınan JumpCloud istemcilerinin kripto para şirketleri olduğunu doğruladı.
Hack, bir zamanlar dijital para şirketlerinin peşine düşmekle yetinen Kuzey Koreli siber casusların, şimdi onlara birden fazla kurbana daha geniş erişim sağlayabilen şirketlerle nasıl mücadele ettiğini gösteriyor – “tedarik zinciri saldırısı” olarak bilinen bir taktik.
ABD’li SentinelOne firması için çalışan ve bağımsız olarak Mandiant ve CrowdStrike’ın atıfını doğrulayan Tom Hegel, “Bence Kuzey Kore oyununu gerçekten hızlandırıyor” dedi.
Pyongyang’ın New York’taki Birleşmiş Milletler misyonu, yorum talebine yanıt vermedi.
Kuzey Kore daha önce, aksi yöndeki BM raporları da dahil olmak üzere çok sayıda kanıta rağmen, dijital para soygunları organize etmeyi reddetmişti.
CrowdStrike, bilgisayar korsanlarını Kuzey Kore adına faaliyet gösterdiği iddia edilen birkaç gruptan biri olan “Labyrinth Chollima” olarak tanımladı. Mandiant, sorumlu bilgisayar korsanlarının birincil dış istihbarat teşkilatı olan Kuzey Kore’nin Genel Keşif Bürosu’nda (RGB) çalıştığını söyledi.
ABD siber izleme kurumu CISA ve FBI yorum yapmaktan kaçındı.
Ürünleri ağ yöneticilerinin cihazları ve sunucuları yönetmesine yardımcı olmak için kullanılan JumpCloud’a yapılan saldırı, ilk olarak bu ayın başlarında, şirketin müşterilere kimlik bilgilerinin “devam eden bir olayla ilgili çok fazla dikkat nedeniyle” değiştirileceğini bildiren bir e-posta göndermesiyle ortaya çıktı.
Olayın bir hack olduğunu kabul eden blog gönderisinin önceki bir versiyonunda, JumpCloud izinsiz girişi 27 Haziran’a kadar takip etti.
Siber güvenlik odaklı podcast Riskli iş Bu haftanın başlarında, iki kaynağın Kuzey Kore’nin izinsiz girişte şüpheli olduğunu söylediğini aktardı.
Labyrinth Chollima, Kuzey Kore’nin en üretken bilgisayar korsanlığı gruplarından biridir ve izole edilmiş ülkenin en cüretkar ve yıkıcı siber saldırılarından bazılarından sorumlu olduğu söyleniyor.
Kripto para hırsızlığı, göz yaşartan meblağların kaybına yol açtı: Blockchain analitik şirketi Chainalysis, geçen yıl Kuzey Kore bağlantılı grupların birden fazla hack yoluyla tahmini 1,7 milyar ABD Doları (2,5 milyar ABD Doları) değerinde dijital nakit çaldığını söyledi.
CrowdStrike’ın istihbarattan sorumlu kıdemli başkan yardımcısı Adam Meyers, Pyongyang’ın bilgisayar korsanlığı ekiplerinin hafife alınmaması gerektiğini söyledi.
“Bunun, bu yıl Kuzey Kore’nin tedarik zinciri saldırılarını göreceğimiz son saldırı olacağını sanmıyorum” dedi.