SentinelLabs araştırmacılarına göre, Kuzey Kore devlet destekli bilgisayar korsanları Rus füze üreticisi NPO Mashinostroyeniya’yı ihlal etti.
Kuzey Koreli hackerlar ortaya çıktı
Araştırmacılar, NPO Mashinostroyeniya’nın BT personeli arasında ilk olarak Mayıs 2022’de tespit edilen olası bir siber saldırı hakkında bilgi içeren sızdırılmış e-posta iletişimine rastladı.
E-postalara göre, ihlal edilen şirketin BT personeli, şirket sistemlerinde şüpheli bir DLL dosyası keşfetti. SentinelLabs araştırmacıları, bunun daha önce Lazarus bilgisayar korsanlığı grubuna bağlı OpenCarrot Windows işletim sistemi arka kapısının bir sürümü olduğunu belirledi.
Araştırmacılar, “OpenCarrot, virüslü makinelerin tamamen ele geçirilmesinin yanı sıra yerel bir ağda birden çok bulaşmanın koordinasyonunu sağlıyor” dedi.
“Analiz ettiğimiz OpenCarrot varyantı, dahili ağ ana bilgisayarları aracılığıyla ve doğrudan harici sunucuya proxy C2 iletişimini destekliyor, bu da ağ çapında bir uzlaşmanın güçlü olasılığını destekliyor.”
Araştırmacılar ayrıca, e-postalarda tartışılan olağandışı ağ trafiğinin, şirketin Linux e-posta sunucusunun ele geçirilmesinden kaynaklandığını da keşfettiler.
Araştırmacılar, ilk erişim yöntemini henüz belirlemediler, ancak “bu altyapı setini içeren kötü amaçlı yazılım yükleme araçlarını ve tekniklerini, RokRAT arka kapısını kullanan daha önce bildirilen ScarCruft etkinliğinde görülenlere” bağladılar.
“ScarCruft genellikle Kuzey Kore’nin devlet destekli faaliyetlerine atfedilir ve neredeyse küresel olarak yüksek değerli bireyleri ve kuruluşları hedefler. Grup ayrıca Inky Squid, APT37 veya Group123 olarak da anılır ve izinsiz girişleri için genellikle çeşitli teknik yetenekler sergiler.
Teknik veriler, saldırının Aralık 2021’de başladığını ve keşfedildiği Mayıs 2022’ye kadar sürdüğünü gösteriyor.
Siber casusluk
Kuzey Koreli bilgisayar korsanlığı grupları genellikle ülkenin ekonomik, politik ve askeri emellerini desteklemeyi amaçlayan mali odaklı saldırılarıyla tanınır, ancak siber casusluk da bu hedeflere ulaşmanın bir yoludur.
“Şu anda iki tehdit aktörü arasındaki ilişkinin potansiyel doğasını belirleyemiyoruz. Araştırmacılar, KDHC’ye bağlı iki tehdit aktörü arasında potansiyel bir paylaşım ilişkisinin yanı sıra, görevlendirmenin bu hedefi birden fazla bağımsız tehdit aktörüne atamak için yeterince önemli bulma olasılığını kabul ediyoruz” dedi.
“NPO Mashinostroyeniya, şu anda Rus ordusu için kullanımda olan ve geliştirilmekte olan hassas füze teknolojisine ilişkin son derece gizli fikri mülkiyete sahip, yaptırım uygulanan bir kuruluştur.”