Kuzey Koreli BT Çalışanları Nasıl Tespit Edilir?


Siber Suç, Dolandırıcılık Yönetimi ve Siber Suç, Olay ve İhlallere Müdahale

Ayrıca: Fidye Yazılımları 2023’te Arttı, MoneyGram Siber Saldırının Ardından Tekrar Hizmete Girdi

Anviksha Daha Fazla (AnvikshaDevamı) •
26 Eylül 2024

İhlal Özeti: Kuzey Koreli BT Çalışanları Nasıl Tespit Edilir?
Resim: Shutterstock

Bilgi Güvenliği Medya Grubu her hafta dünya çapındaki siber güvenlik olaylarını ve ihlallerini bir araya getiriyor. Bu hafta Kuzey Koreli personeli tespit etme konusunda tavsiyeler; fidye yazılımı saldırıları arttı; MoneyGram tekrar çevrimiçi; FCC siyasi ajana para cezası verdi; CISA su sistemi saldırıları konusunda uyardı; Ukrayna Telegram kullanımını kısıtladı; Kuzey Koreli bilgisayar korsanları yeni kötü amaçlı yazılım kullandı; İngiltere, hacker olduğu iddiasını tutukladı; PSNI veri sızıntısı görüşmelerinde.

Ayrıca bakınız: Çoklu Bulut Güvenliğinin Altı Temel Gereksinimi

Kuzey Koreli BT Çalışanlarını İşe Almaktan Nasıl Kaçınılır?

Google’ın sahibi olduğu tehdit istihbaratı şirketi Mandiant, kazara dünyanın en çılgın ve onaylı totaliter rejiminden birini işe almak istemeyen uzak bir iş gücü oluşturan şirketlerin birkaç temel adım atması gerektiğini tavsiye etti.

Mandiant, Kuzey Kore vatandaşlarını işe alan şirketlerle yapılan çalışmalara dayanan bir blog yazısında, bu adımların arasında tüm başvuru sahiplerinin “görsel görünümün çevrimiçi profillerle eşleştiğinden emin olmak için” görüşmeler sırasında kameraları açmalarının zorunlu kılınmasını da içerdiğini söyledi. Şirketler, görüşülen kişinin verilen kimlikle eşleşip eşleşmediğini kontrol etmeli ve “bir adayın yanıtlarının iddia edilen geçmişine uygun olarak tutarlılığını belirlemek için sorular sormalıdır.”

ABD federal hükümeti, en az 2022’den bu yana, uzaktaki Kuzey Koreli işçilerin yalnızca yasadışı maaş almakla kalmayıp aynı zamanda programlama pozisyonlarını Pyongyang’ın hackleme kampanyalarını kolaylaştırmak için kullanabilecekleri konusunda uyardı. Federal savcılar bu yıl, Kuzey Kore vatandaşlarının Fortune 500 şirketleri için BT işleri elde ettiği ABD içinde dizüstü bilgisayar çiftlikleri işleterek Hermit Krallığı’nın yaptırımları aşmasına yardım etmekle suçlanan kişilere karşı çok sayıda suç duyurusunda bulundu.

Yeni bir kişinin kuşatılmış Kuzey Kore ekonomisine para akıttığını gösteren işaretlerden biri, IP tabanlı klavye video faresi kullanan bir dizüstü bilgisayarın yanı sıra AnyDesk veya Chrome Remote Desktop gibi uzaktan yönetim araçlarının kurulumudur. Mandiant, “Bu uzaktan yönetim çözümlerine olan bağlantılar öncelikle Astrill VPN ile ilişkili IP adreslerinden kaynaklandı ve muhtemelen Çin veya Kuzey Kore kaynaklıdır” dedi.

Diğerleri ise video görüşmelerine katılma konusundaki yüksek isteksizlik, İnternet Üzerinden Ses Protokolü numaraları olan telefon numaraları, tek bir sisteme kurulu birden fazla uzaktan yönetici aracı ve dizüstü bilgisayarları aktif tutan “fare sallama” yazılımıdır. Mandiant, “Dizüstü bilgisayarları açık ve çalışır durumda tutmak, genellikle aynı anda birçok işte çalışan ve çevrimiçi görünmeye ihtiyaç duyan Kuzey Kore BT çalışanları için çok önemli” dedi.

Şirket ayrıca Kuzey Koreli işçilerin kodlama kalitesini “ortalamanın altında” olarak nitelendirdi.

Fidye Yazılımı Saldırıları 2023’te %73 Arttı

Güvenlik ve Teknoloji Enstitüsü’nün Fidye Yazılımı Görev Gücü, 2023 yılında dünya çapında kaydedilen fidye yazılımı olaylarında bir önceki yıla göre %73 artış olduğunu ve 6.670 saldırının kaydedildiğini bildirdi.

Görev gücünün perşembe günü yayınladığı bir raporda bu trend, siber suçluların maksimum kazanç elde etmek için yüksek değere sahip kuruluşları hedef aldığı büyük av avcılığına atfediliyor. En önemlisi, Clop grubu MOVEit dosya aktarım yazılımındaki güvenlik açıklarından yararlandı ve yaklaşık 666 olaya katkıda bulundu (bkz.: Veri İhlalinin Ücreti Clop Grubunun MOVEit Saldırı Artışına Bağlı).

Sağlık ve inşaat sektörleri en çok hedef alınan sektörler oldu ve hastaneler, 2022’de 89 olaydan 2023’te 177’ye çıkarak neredeyse iki kat daha fazla saldırı yaşadı. Hastaneler için ortalama kurtarma maliyeti 2,2 milyon dolara ulaştı ve fidye yazılımı ödemeleri hızla artarak 2023’te 1 milyar doları aştı ( Görmek: CMS, MOVEit Hack’inden 3,1 Milyon Kişinin Etkilendiğini Açıkladı).

Raporda, fidye yazılımıyla mücadelede hükümet ve sektörün artan çabalarına rağmen, hizmet olarak fidye yazılımı modelinin karlılığının saldırganları teşvik etmeye devam ettiği belirtiliyor.

MoneyGram Siber Saldırıdan Kurtuldu

MoneyGram International, para transfer sistemine yapılan bir siber saldırının Pazartesi günü hizmetleri çevrimdışına almaya zorlanmasının ardından Perşembe günü tekrar çevrimiçi oldu.

Merkezi Dallas, Teksas’ta bulunan MoneyGram, 200’den fazla ülkede yılda 200 milyar dolardan fazla işlem gerçekleştiriyor. MoneyGram tarafından bu ayın başında yayınlanan bir anket raporu, yurt dışına para göndermek için bu hizmeti kullananların neredeyse yarısının bunu aile yemek masraflarını karşılamak için yaptığını, üçte birinden fazlasının ise paranın acil durum masraflarını karşılamak için kullandığını söylediğini söylüyor. Üçte birinden fazlası bu hizmeti konut masraflarını karşılamak için kullandığını bildirdi.

ABD FCC, Biden Deepfake’in Siyasi Sorumlusuna Ceza Verdi

Şubat ayında ABD Başkanı Joe Biden’ın sesinin yapay zeka derin sahtesini üreten siyasi danışman, federal düzenleyicilere 6 milyon dolar para cezası ödemek zorunda kalacak. ABD Federal İletişim Komisyonu Perşembe günü Demokrat Partili Steven Kramer’e ceza verdi. FCC Başkanı Jessica Rosenworcel, “Sesleri klonlamak ve bizi sahte ses ve görüntülerle boğmak için yapay zekayı kullanmak artık ucuz ve kolay” dedi. “Bunu gördüğümüzde seslenmeli ve bu dolandırıcılığı durdurmak için elimizdeki her aracı kullanmalıyız.”

Kramer, Şubat ayında Associated Press’e, çağrıların yapay zeka destekli deepfake’lerin tehlikeleri hakkında bir uyandırma çağrısı girişimi olduğunu söyledi. Daha sonra Biden’ın birincil rakibi Temsilci Dean Phillips için çalışan ve çağrıları kınayan Kramer, 21 Ocak’ta yaklaşık 4.000 potansiyel New Hampshire seçmenine sahte bir mesaj iletmek için 500 dolar ödedi ve bu seçmen, Biden’ın onları katılmamaya çağırdığını düşündükleri bir ses duydu. Demokratların ön seçimi.

FCC, Kramer’in cezayı ödemek için 30 günü olduğunu, aksi takdirde Adalet Bakanlığı’ndan tahsilatla karşı karşıya kalacağını söyledi. ABD’li telekom şirketi Lingo Telecom, çağrıları ilettiği için 1 milyon dolarlık cezayı zaten kabul etti. Kramer hâlâ New Hampshire’da seçmenlerin bastırıldığı iddiasıyla bağlantılı suçlamalarla karşı karşıya bulunuyor.

ABD CISA Kritik Altyapılara Yönelik Siber Saldırılara Karşı Uyardı

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Çarşamba günü, özellikle su ve atık su sistemlerine odaklanan, kritik altyapı ağlarını hedef alan siber saldırılara ilişkin bir uyarı yayınladı. Ajans, kaba kuvvet saldırıları ve varsayılan kimlik bilgilerinin kullanılması gibi “sofistike” yöntemlerin, saldırganların internete açık operasyonel teknolojiye erişmesine izin vermeye devam etmesi nedeniyle saldırganların aşırı bilgisayar korsanları olmasına gerek olmadığını söyledi.

CISA, operatörlere varsayılan şifreleri değiştirerek, çok faktörlü kimlik doğrulamayı etkinleştirerek, insan-makine arayüzlerini güvenlik duvarlarının arkasında güvence altına alarak, VNC kurulumlarını güçlendirerek ve en son yamaları uygulayarak savunmaları güçlendirmelerini tavsiye etti.

CISA’nın uyarısı, Pazar günü Arkansas City, Kansas’taki su arıtma tesisine düzenlenen siber saldırının ardından geldi (bkz: FBI ve ABD Ulusal Güvenlik Su Tesisi Siber Saldırısını Soruşturuyor).

Ukrayna Güvenlik Kaygıları Nedeniyle Telegram Kullanımını Kısıtlıyor

Ukrayna Ulusal Siber Güvenlik Koordinasyon Merkezi, Rusya ile devam eden savaşın ortasında ulusal güvenlik endişeleri nedeniyle Telegram’ın devlet kurumlarında, askeri birimlerde ve kritik altyapılarda kullanımını yasakladı.

Ulusal Güvenlik ve Savunma Konseyi Sekreteri Oleksandr Lytvynenko, 19 Eylül’deki toplantıda Telegram’ın güvenlik risklerine dikkat çekti. Ukrayna Savunma İstihbarat Şefi Kyrylo Budanov, Rus istihbaratının silinmiş mesajlar da dahil olmak üzere kullanıcı verilerine potansiyel olarak erişebileceği ve bunun Telegram’ı ciddi bir güvenlik tehdidi haline getirebileceği konusunda uyardı.

Ukrayna Güvenlik Servisi ve Silahlı Kuvvetleri’nden yetkililer, Rusya’nın siber saldırılar, kimlik avı, kötü amaçlı yazılım dağıtımı ve füze saldırısı koordinasyonu için Telegram’ı aktif olarak kullandığını söyledi. Sonuç olarak NCCC, özellikle gerekli olduğu durumlar dışında uygulamayı hükümet, askeri ve kritik altyapı personeli tarafından kullanılan resmi cihazlarda kısıtladı.

Yasak sıradan vatandaşları kapsamıyor ve uygulama, Rus hava saldırılarına ilişkin uyarılar da dahil olmak üzere iletişim ve haber güncellemeleri için yaygın olarak kullanılıyor.

Kuzey Koreli Hackerlar Yeni Kötü Amaçlı Yazılım Türlerini Yayıyor

Palo Alto Networks’ün Unit 42 araştırmacılarına göre, APT43 olarak da bilinen Kuzey Kore bağlantılı tehdit grubu Kimsuky, KLogEXE ve FPSpy adlı iki yeni kötü amaçlı yazılım türü kullanıyor. Bu eklemeler, 2012’den bu yana aktif olan grubun yeteneklerini güçlendiriyor. ve hedef odaklı kimlik avı saldırılarıyla ünlüdür.

KLogEXE, daha önce Kimsuky’nin Japon kuruluşlarını hedef alan kampanyalarıyla bağlantılı bir keylogger olan InfoKey’in C++ sürümüdür. Tuş vuruşlarını ve fare tıklamalarını izler ve çalışan uygulamalar hakkında bilgi toplar.

Daha önce 2022’de AhnLab tarafından ortaya çıkarılan bir kötü amaçlı yazılım türü olan FPSpy, Kimsuky’nin sistem bilgilerini toplama, komutları çalıştırma, ek yükler indirme ve sürücü ve dosyaları numaralandırma yeteneğini geliştiriyor.

İngiltere Polisi Tren İstasyonu Hackerını Tutukladı

Bilgisayar korsanları, İslamofobik mesajlar görüntüleyen oturum açma sayfalarına müdahale etmek için İngiltere’nin en büyük ulusal demiryolu ağının Wi-Fi sistemlerini hedef aldı.

Çarşamba akşamı gerçekleşen saldırı, Network Rail tarafından yönetilen 19 istasyonun Wi-Fi oturum açma sayfalarını etkiledi ve oturum açma sayfasını terör olaylarıyla ilgili bilgilerin yanı sıra “Seni seviyoruz Avrupa” şeklinde değiştirdi. Manchester Evening News Perşembe günü, polisin Wi-Fi yüklenicisi Global Reach Technology’nin bir çalışanını tutukladığını bildirdi.

Etkilenen istasyonlar arasında Birleşik Krallık’ın en yoğun tren istasyonları olan Londra’daki Liverpool Street, Paddington ve Waterloo yer alıyor.

PSNI Arabuluculuğu Veri Sızıntısı Tazmini Üzerinden Başlıyor

Kuzey İrlanda Polis Teşkilatı’nın dahil olduğu bir arabuluculuk süreci, teşkilatın yanlışlıkla tüm polis memurlarının adlarının, soyadlarının, görevlerinin ve konumlarının yer aldığı bir elektronik tabloyu çevrimiçi olarak yayınlaması sonucu meydana gelen Ağustos 2023 veri sızıntısından etkilenen 7.000’e kadar personel için tazminatın belirlenmesine başladı. kadro.

Kuzey İrlanda’da süregelen mezhepsel gerginlikler, birçok polis memurunun ve sivil çalışanın, özellikle de aile üyelerine bile söylemeyebilecek Katolik cemaati üyelerinin işlerini kamuya açık bir şekilde saklamasına yol açtı (bkz.: Kuzey İrlanda Polisi Ciddi Veri İhlalinden Sonra Risk Altında). Elektronik tablo yalnızca birkaç saatliğine çevrimiçi olmasına rağmen araştırmacılar, Kuzey İrlanda’ya barış getiren Britanya-İrlanda güç paylaşımı düzenlemesini reddeden muhalif cumhuriyetçilerin bir kopya almayı başardıklarını buldu.

BBC’nin haberine göre nihai ödeme 240 milyon sterline ulaşabilir.

PSNI zaten sorumluluğu kabul etti ve ihlalden dolayı özür diledi. Arabuluculuk, bireylerin bunu kabul etmesi gerekmese de, tazminat için “evrensel bir teklif” oluşturmayı amaçlayacaktır.

Bu yılın başlarında Birleşik Krallık Bilgi Komiserliği Ofisi, PSNI’nin ihlal nedeniyle 750.000 pound para cezasıyla karşı karşıya kalabileceğini öne sürdü. Aralarında bir memurun da bulunduğu sekiz çalışan, veri sızıntısının kararlarında önemli bir faktör olduğunu öne sürerek istifa etti.

Geçen Haftanın Diğer Haberleri

Bilgi Güvenliği Medya Grubu’ndan Güney İngiltere’deki Akshaya Asokan ve Washington, DC’den David Perera’nın raporlarıyla





Source link