Flashpoint, Kuzey Koreli bilgisayar korsanlarının ABD’deki uzaktan BT işlerini güvence altına almak için nasıl sahte kimlikler kullandıklarını ve 88 milyon dolar sifonunu ortaya çıkarıyor. Sahtekarlığı yapmak için sahte kimlikleri ve teknolojiyi nasıl kullandıklarını öğrenin.
Kuzey Koreli bilgisayar korsanları, ABD şirketlerinde ve kar amacı gütmeyen kuruluşlarda uzaktan iş bulmak için çalıntı kimlikler kullandılar ve altı yıl boyunca en az 88 milyon dolarlık bir araya geldiler. ABD Adalet Bakanlığı, 12 Aralık 2024’te on dört Kuzey Kore vatandaşını katılımları için suçladı. Güvenlik firması Flashpoint, taktiklerini ve bu şema hakkındaki özel ayrıntılarını ortaya çıkarmak için bilgisayar korsanlarının kendi enfekte bilgisayarlarından verileri analiz ederek benzersiz bir soruşturma gerçekleştirdi.
Flashpoint’in soruşturması, inandırıcı özgeçmişler oluşturmak ve hileli referanslar sağlamak için “Bebek Kutusu Bilgisi”, “Helix Us” ve “Cubix Tech Us” dahil olmak üzere iddianamede adlandırılan sahte şirketlerin kullanımını ortaya çıkardı. Araştırmacılar, özellikle bu sahte varlıklarla ilişkili e -posta adresleri için giriş bilgileri düzenleyen Pakistan’ın Lahore kentinde olmak üzere enfekte olan bilgisayarları izlediler. 2023’te çok sayıda teknoloji işine başvurmak için kullanılan bu makinelerden birinde sahte bir ABD kimliğine bağlı olarak potansiyel olarak bağlı olan “JSilver617” kullanıcı adı bulundu.
Kritik bir kanıt parçası, bilgisayarlı bir bilgisayarın tarayıcı tarihinde bulunan ve bilgisayar korsanlarının kökenlerini ima eden İngilizce ve Korece arasında Google Tercümesinin kapsamlı bir şekilde kullanılmasıdır. Çeviri mesajları, sahte şirketlerdeki bireyler için fabrikasyon iletişim bilgileri de dahil olmak üzere sahte iş referansları oluşturma yöntemlerini ortaya koydu. “Cubix” den İK yöneticisi olarak poz veren bir mesaj, yanlış istihdam doğrulama detayları sağladı.
Daha fazla iletişim, operasyon içindeki hiyerarşik bir yapıya işaret etti ve çevrimiçi toplantılar sırasında web kameralarını kullanmaktan kaçınma stratejileri gibi “Tradecraft” tartıştı. Uzak bir işçinin kötü performansı ile ilgili hayal kırıklığı, “Başarısızlık olduğunuzun kanıtıdır” diyen tercüme edilmiş bir mesajda da belirgindi.
Soruşturma ayrıca, uzaktan çalışma kurulumları için elektronik cihazlar, muhtemelen dizüstü bilgisayarlar ve telefonlar ile ilgili tartışmaları ortaya çıkardı. Bu, Hackread.com’un ABD merkezli işbirlikçilerinin Kuzey Koreli işçiler tarafından uzaktan erişim için cihazlar aldığı ve önemli Kuzey Koreli grup nikel gobleninin kilit fail olarak tanımlanan önde gelen Dizüstü Bilgisayar Çiftlikleri raporlamasıyla uyumlu.
Bu durumda, tercüme edilmiş bir mesaj dizüstü bilgisayarların Nijerya’ya teslim edilmesini sordu. Tarayıcı geçmişi, muhtemelen Dubai’den kaynaklanan bir sevkiyat da dahil olmak üzere uluslararası kurye hizmetleri için izleme numaralarını ortaya çıkardı.
Flashpoint tarafından sağlanan çeviri:
We need to make the Abdul's voices heard for a week. After that we can turn off the camera. They are very sensitive to voices. They might not ask Abdul to turn on the video if they don't think there is a difference in thg voices.&op=translate
---
and you know that was same some that we have already summitted your profile, at that time they told that your rate is high and gave offer to another person , but that offer is backout and now they have backfill of it. please let me know if we can submit your profile at $65/hr on C2C/1099. this time prime vendor is different, but client is same.&op=translate
---
I didn't complain when you didn't get the assignment for two months. But this is a different matter. It's proof that you're a failure and if you're like this, you won't be able to handle this job well.&op=translate
Soruşturma ayrıca, enfekte edilmiş makinelerde AnyDesk uzak masaüstü yazılımının kullanımını da ortaya koydu ve Kuzey Koreli operatörlerin ABD şirket sistemlerine uzaktan eriştiğini öne sürdü. Bu detay, hassas şirket ağlarına kazandıkları doğrudan erişimi vurgulamaktadır.
Hackread.com ile paylaşılan Flashpoint’in soruşturması, “Keşfinden bu yana Fortune 500 şirketleri, teknoloji ve kripto para birimi endüstrileri, fonları, fikri mülkiyet ve bilgileri sifonlayan daha gizli DPRK ajanlarını bildiriyor” dedi.
Flashpoint’in, uzlaşmış kimlik bilgilerini ve Infostealer günlüklerini analiz ederek elde edilen bu operasyona iç bakışı, Kuzey Kore’nin ABD organizasyonlarını hedefleyen sofistike ve karlı siber sahtekarlığının ayrıntılı bir şekilde anlaşılmasını sağlar.