Siber güvenlik araştırmacıları, dolandırıcı BT çalışanı planları ile 2016’daki kitlesel fonlama dolandırıcılığının ardındaki Kuzey Koreli tehdit aktörleri arasındaki altyapı bağlantılarını tespit etti.
SecureWorks Karşı Tehdit Birimi (CTU), The Hacker News ile paylaştığı bir raporda, yeni kanıtların Pyongyang merkezli tehdit gruplarının BT çalışanlarının kullanımından önce yasa dışı para kazanma dolandırıcılıkları gerçekleştirmiş olabileceğini gösterdiğini söyledi.
2023’ün sonlarında ortaya çıkan BT çalışanı dolandırıcılık planı, Kuzey Koreli aktörlerin yaptırımların vurduğu ülkeye gelir sağlamak amacıyla sahte kimlikler altında gizlice iş arayarak Batı’daki ve dünyanın diğer bölgelerindeki şirketlere sızmasını içeriyor. Ayrıca Famous Chollima, Nickel Tapestry, UNC5267 ve Wagemole isimleri altında da takip ediliyor.
Güney Kore Dışişleri Bakanlığı’na (MoFA) göre BT personelinin, Kore İşçi Partisi’nin Mühimmat Sanayi Dairesi’ne bağlı bir kuruluş olan 313. Genel Büro’nun parçası olduğu değerlendirildi.
Bu operasyonların bir diğer dikkate değer yönü, BT çalışanlarının, her ikisi de daha önce Hazine Bakanlığı Yabancı Varlıklar Kontrol Ofisi tarafından yaptırıma tabi olan Yanbian Silverstar ve Volasys Silver Star gibi paravan şirketler için çalışmak üzere rutin olarak Çin ve Rusya’ya gönderilmesidir ( OFAC) Eylül 2018’de.
Her iki kuruluş da, Hermit Krallığı veya Kore İşçi Partisi için gelir elde etmek ve müşterilerin gerçek uyruğunu gizlemek amacıyla Kuzey Kore’den işçi ihracatına katılmak ve bunu kolaylaştırmakla suçlanıyor.
Yanbian Silverstar’ın Kuzey Koreli CEO’su Jong Song Hwa’ya da “Çin ve Rusya’daki çeşitli geliştirici ekiplerinin kazanç akışını” kontrol etmedeki rolü nedeniyle yaptırımlar uygulandı.
Ekim 2023’te ABD hükümeti, Kuzey Koreli BT çalışanlarının çevrimiçi başvuru yaparken gerçek kimliklerini ve konumlarını gizlemelerine izin vererek ülke içindeki ve yurt dışındaki işletmeleri dolandırmak amacıyla ABD merkezli BT hizmetleri şirketlerini taklit eden 17 internet alan adının ele geçirildiğini duyurdu. serbest çalışma.
El konulan alan adları arasında “silverstarchina” adlı bir web sitesi de vardı[.]Secureworks’ün geçmiş WHOIS kayıtları analizi, tescil ettiren kişinin sokak adresinin, Yanbian vilayetinde bulunan Yanbian Silverstar ofislerinin bildirilen konumlarıyla eşleştiğini ve aynı tescil ettiren e-posta adresinin ve sokak adresinin diğer alan adlarını kaydetmek için kullanıldığını ortaya çıkardı.
Söz konusu alanlardan biri de kratosmemory[.]Daha önce 2016’da IndieGoGo kitlesel fonlama kampanyasıyla bağlantılı olarak kullanılmış olan bu kampanyanın daha sonra destekçilerin satıcıdan ne ürün ne de para iadesi alamamasının ardından dolandırıcılık olduğu ortaya çıktı. Kampanyanın 193 destekçisi vardı ve 21.877 dolar tutarında fon topladı.
Kitlesel fonlama sayfasındaki yorumlardan biri, “Bu kampanyaya bağış yapanlar kendilerine vaat edilen hiçbir şeyi alamadılar” iddiasında bulunuyor. “Onlara da herhangi bir güncelleme gelmedi. Bu tam bir dolandırıcılıktı.”
Siber güvenlik şirketi ayrıca kratosmemory için WHOIS tescil ettiren bilgilerinin de bulunduğunu belirtti.[.]com, Kratos dolandırıcılığının IndieGoGo kullanıcı profiliyle eşleşen Dan Moulding adlı farklı bir kişiliği yansıtacak şekilde 2016 ortalarında güncellendi.
Secureworks, “Bu 2016 kampanyası, bu yayın itibarıyla aktif olan daha ayrıntılı Kuzey Kore BT işçi programlarıyla karşılaştırıldığında, düşük çaba gerektiren, küçük parasal getiri sağlayan bir çabaydı” dedi. “Ancak bu, Kuzey Koreli tehdit aktörlerinin çeşitli para kazanma planlarını denediği eski bir örneği gösteriyor.”
Gelişme, Japonya, Güney Kore ve ABD’nin blockchain teknolojisi endüstrisine, Kore Demokratik Halk Cumhuriyeti (DPRK) siber aktörleri tarafından kripto para birimi soygunları gerçekleştirmek üzere sektördeki çeşitli kuruluşların sürekli olarak hedef alınmasına ilişkin ortak bir uyarı yayınlamasıyla ortaya çıktı.
“Lazarus Grubu da dahil olmak üzere Kuzey Kore’ye bağlı gelişmiş kalıcı tehdit grupları, […] Hükümetler, kripto para birimini çalmak ve borsaları, dijital varlık saklayıcılarını ve bireysel kullanıcıları hedef almak için çok sayıda siber suç kampanyası yürüterek siber uzayda kötü niyetli davranış modeli sergilemeye devam ettiklerini belirtti.
2024’te hedeflenen şirketlerden bazıları arasında DMM Bitcoin, Upbit, Rain Management, WazirX ve Radiant Capital yer alıyor ve bu da 659 milyon dolardan fazla kripto paranın çalınmasına yol açıyor. Duyuru, Hindistan’ın en büyük kripto para borsası WazirX’in hacklenmesinin arkasında Kuzey Kore’nin olduğunun ilk resmi onayını işaret ediyor.
WazirX’in kurucusu Nischal Shetty, X’te şunları yazdı: “Bu kritik bir an. Çalınan varlıkların kurtarılması için hızlı uluslararası eylem ve destek çağrısında bulunuyoruz.” “Emin olun, adalet arayışımızda çevrilmemiş taş bırakmayacağız.”
Geçen ay, blockchain istihbarat firması Chainaliz, Kuzey Kore’ye bağlı tehdit aktörlerinin 2024’te 47 kripto para birimi saldırısında 1,34 milyar dolar çaldığını ortaya çıkardı; bu rakam 2023’teki 20 olayda 660,50 milyon dolardı.