Devlet destekli Kuzey Koreli bilgisayar korsanları, son yıllarda yazılım geliştiren firmalara ve BT çalışanları arayan şirketlere sızarak BT sektörüne odaklanmalarını önemli ölçüde yoğunlaştırdılar.
Kuzey Koreli hackerlar geliştiricileri hedef alıyor
Microsoft Çarşamba günü, Kuzey Kore destekli bilgisayar korsanlığı gruplarının Lazarus (Diamond Sleet) ve Andariel’in (Onyx Sleet) JetBrains TeamCity sunucusundaki kritik bir kimlik doğrulama atlama güvenlik açığından (CVE-2023-42793) yararlanarak hedef sistemleri ihlal ettiğini ve kalıcı erişim sağladığını açıkladı. güvenliği ihlal edilmiş ana bilgisayarlara, onları şirketlerin sistem ve ağlarının daha yaygın şekilde ele geçirilmesi için bir dayanak noktası olarak kullanmak.
Diamond Sleet’in iki saldırı yolu kullanıldığı gözlemlendi: ilki ForestTiger arka kapısının konuşlandırılmasından oluşuyordu, ikincisi ise DLL arama emri ele geçirme saldırıları için dağıtılan yüklerden oluşuyordu.
Onyx Sleet farklı bir saldırı yolu kullandı: Tehdit aktörü, TeamCity güvenlik açığından başarıyla yararlandıktan sonra bir kullanıcı hesabı (adlandırılmış) oluşturur. krtbgt), sistem keşif komutlarını çalıştırır ve son olarak kalıcı bağlantı kurmak için HazyLoad adlı bir proxy aracını dağıtır.
Microsoft, “Geçmiş operasyonlarda Diamond Sleet ve diğer Kuzey Koreli tehdit aktörleri, yapı ortamlarına sızarak yazılım tedarik zinciri saldırılarını başarıyla gerçekleştirdi” dedi.
Kuzey Kore devlet destekli bilgisayar korsanlarının GitHub aracılığıyla yazılım geliştiricilerini hedef alan bir sosyal mühendislik kampanyasıyla bağlantısı olduğu ortaya çıktı. Saldırgan, bir geliştirici veya işe alım uzmanı gibi davranarak kurbanı GitHub deposunda işbirliği yapmaya ve sonuçta cihazına kötü amaçlı yazılım indirip çalıştırmaya ikna etmeyi başardı.
TeamCity gibi DevOps çözümlerindeki güvenlik açıklarından yararlandıklarına bakılırsa amaçları ve hedefleri sabit kalmış gibi görünüyor.
Kuzey Koreli BT çalışanları: Potansiyel kötü niyetli kişiler
Kuzey Koreli BT çalışanları da vasıflı çalışan eksikliğinden yararlanıyor ve yazılım geliştirme ve diğer BT işleri sunan şirketlerin işe alım görevlileriyle iletişim kuruyor. Bu kişileri işe alan şirketlerin ticari sırları veya fonları çalınabilir ve girişimleri içeriden sabote edilebilir.
Salı günü FBI, Kuzey Koreli BT çalışanları tarafından kullanılan ve meşru, ABD merkezli BT hizmetleri şirketlerine aitmiş gibi gösterilen 17 web sitesi alan adına el koydu. ABD yetkilileri ayrıca bu BT çalışanlarının elde ettiği yaklaşık 1,5 milyon dolarlık gelire de el koydu.
“Mahkeme belgelerinde iddia edildiği gibi, Kore Demokratik Halk Cumhuriyeti (Kuzey Kore veya Kuzey Kore) Hükümeti, ABD’yi ve dünya çapındaki diğer işletmeleri işe alma konusunda kandırmak amacıyla binlerce vasıflı BT çalışanını başta Çin ve Rusya olmak üzere yurtdışında yaşamak üzere gönderdi. ABD Adalet Bakanlığı, kitle imha silahları (KİS) programlarından gelir elde etmek amacıyla onları serbest BT çalışanları olarak görevlendiriyor” diyor.
“Sahte e-posta, sosyal medya, ödeme platformu ve çevrimiçi iş sitesi hesaplarının yanı sıra sahte web sitelerinin, Amerika Birleşik Devletleri’nde ve başka yerlerde bulunan proxy bilgisayarların ve kasıtlı veya kasıtsız üçüncü tarafların, BT çalışanlarının kullanımını içeren bu plan aracılığıyla Kuzey Kore Savunma Bakanlığı ve Kuzey Kore’nin BM tarafından yasaklanan KİS programlarına doğrudan katılan diğerleri gibi belirlenmiş kuruluşlar adına yılda milyonlarca dolar gelir elde etti. Bazı durumlarda BT çalışanları, bilgi çalmak ve gelecekteki bilgisayar korsanlığı ve gasp planlarına erişimi sürdürmek için farkında olmadan işverenlerin bilgisayar ağlarına da sızdılar.
BT sektörü için rehberlik
ABD Dışişleri Bakanlığı, ABD Hazine Bakanlığı ve Federal Soruşturma Bürosu, BT alanında serbest çalışan arayan şirketlerin Kuzey Kore’den işçi almaktan kaçınmasına yardımcı olmak amacıyla geçen yıl bir uyarı ve tavsiye yayınladı.
Bu kılavuz Çarşamba günü, muhtemelen Kuzey Koreli BT çalışanlarını tanımlayan ek “kırmızı bayrakları” ve şirketlerin bu kişileri işe almaktan kaçınmak için alması gereken ek durum tespiti önlemlerini içerecek şekilde güncellendi.
Yanlışlıkla Kuzey Koreli BT çalışanlarının işe alınması riskini azaltmak için şirketlere, üçüncü taraf personel bulma firmalarından veya dış kaynak kullanan şirketlerden özgeçmiş kontrollerinin belgelerini talep etmeleri, sağlanan özgeçmiş kontrolü belgelerinin meşruiyetini doğrulamaları ve sağlanan mali bilgilerin meşru bir bankayla eşleştiğinden emin olmaları tavsiye edilir. . Tüm etkileşimlerin ayrıntılı kayıtlarını tutmak, sıkı güvenlik protokolleri uygulamak ve çalışanların adresleriyle uyumluluğu sağlamak için şirket dizüstü bilgisayarlarının coğrafi konumunu belirlemek de çok önemlidir.
Sağlam kimlik doğrulama önlemlerine sahip saygın çevrimiçi serbest çalışma platformlarının kullanılması ve çevrimiçi BT yarışmaları yoluyla doğrudan işe alımdan kaçınılması, işe alım süreçlerinin güvenliğini ve bütünlüğünü korumak için de önerilir.