Microsoft, Kuzey Koreli bilgisayar korsanlığı gruplarının yılın başından bu yana çok sayıda Rus hükümeti ve savunma hedefini ihlal ettiğini söyledi.
Şirketin Doğu Asya’dan gelen tehditlerle ilgili bugün yayınladığı raporda iddia ettiği gibi, tehdit aktörleri, ele geçirilen Rus sistemlerinden istihbarat toplamak için Rusya’nın Ukrayna işgaline odaklanmasından yararlanıyor.
Microsoft’un Dijital Tehdit Analiz Merkezi başkanı Clint Watts, “Çok sayıda Kuzey Koreli tehdit aktörü yakın zamanda Rusya hükümetini ve savunma endüstrisini (muhtemelen istihbarat toplamak için) hedef alırken aynı zamanda Rusya’ya Ukrayna’ya karşı savaşında maddi destek sağladı” dedi.
Microsoft, bu saldırılarla ilgili olarak Rus kuruluşlarının hangilerinin ihlal edildiği gibi henüz daha fazla ayrıntı vermedi ancak şirketin raporu, bazı saldırıların ne zaman gerçekleştiğine dair bilgi sağlıyor.
Redmond’a göre, bir Rus havacılık araştırma kuruluşu ve Rus diplomatik hesaplarının tümü bu Mart ayında saldırıya uğradı.
Microsoft Tehdit İstihbaratı ekibi, “Mart 2023’te Ruby Sleet, Rusya’daki bir havacılık araştırma enstitüsünün güvenliğini ihlal etti. Ayrıca Onyx Sleet (PLUTONIUM), Mart ayı başlarında Rusya’daki bir üniversiteye ait bir cihazın güvenliğini ihlal etti” dedi.
“Ayrıca, Opal Sleet’e (OSMIUM) atfedilen bir saldırgan hesabı, aynı ay içinde Rus diplomatik devlet kurumlarına ait hesaplara kimlik avı e-postaları gönderdi.”
Ruby Sleet (CERIUM olarak da bilinir) ve Diamond Sleet (ZINC ve Lazarus olarak da bilinir) olarak takip edilen tehdit grupları tarafından düzenlenen Kuzey Kore siber saldırıları, kapsamlarını başta Almanya ve İsrail olmak üzere çeşitli ülkelerdeki silah üreticilerini de kapsayacak şekilde genişletti.
Brezilya, Çekya, Finlandiya, İtalya, Norveç ve Polonya’daki savunma firmaları da ülkenin askeri yeteneklerini geliştirmeye yönelik koordineli çabaların bir parçası olarak bu saldırılara maruz kaldı.
Microsoft, “Kasım 2022’den Ocak 2023’e kadar Microsoft, Ruby Sleet ve Diamond Sleet’in savunma şirketlerinden taviz vermesiyle ikinci bir hedefleme çakışması gözlemledi” dedi.
“Ocak 2023’ten bu yana Diamond Sleet, Brezilya, Çekya, Finlandiya, İtalya, Norveç ve Polonya’daki savunma şirketlerine de zarar verdi.”
Microsoft’un raporu, geçen ay SentinelLabs tarafından yayınlanan ve APT37 Kuzey Kore devlet destekli bilgisayar korsanlığı grubunu Rus füze üreticisi NPO Mashinostroyeniya’nın ihlaline bağlayan raporun ardından geldi.
Şirket, Rusya’nın Ukrayna’yı işgalindeki rolü nedeniyle ABD Hazine Bakanlığı’nın Yabancı Varlıklar Kontrol Ofisi (OFAC) tarafından yaptırıma tabi tutuluyor.
Saldırganların amacı belirsiz olsa da SentinelLabs, grubun siber casusluk çabalarının ele geçirilen kuruluşların ağlarından veri çalmaya odaklandığının altını çizdi.
APT37 tarafından Rus savunma kuruluşunun sistemlerine yerleştirilen OpenCarrot arka kapısı daha önce başka bir Kuzey Koreli tehdit grubu olan Lazarus Grubu ile bağlantılıydı.