Kuzey Koreli BT Çalışanları Nasıl Tespit Edilir?

Google’ın sahibi olduğu tehdit istihbaratı şirketi Mandiant, kazara dünyanın en çılgın ve onaylı totaliter rejiminden birini işe almak istemeyen uzak bir iş gücü oluşturan şirketlerin birkaç temel adım atması gerektiğini tavsiye etti.

Mandiant, Kuzey Kore vatandaşlarını işe alan şirketlerle yapılan çalışmalara dayanan bir blog yazısında, bu adımların arasında tüm başvuru sahiplerinin “görsel görünümün çevrimiçi profillerle eşleştiğinden emin olmak için” görüşmeler sırasında kameraları açmalarının zorunlu kılınmasını da içerdiğini söyledi. Şirketler, görüşülen kişinin verilen kimlikle eşleşip eşleşmediğini kontrol etmeli ve “bir adayın yanıtlarının iddia edilen geçmişine uygun olarak tutarlılığını belirlemek için sorular sormalıdır.”

ABD federal hükümeti, en az 2022’den bu yana, uzaktaki Kuzey Koreli işçilerin yalnızca yasadışı maaş almakla kalmayıp aynı zamanda programlama pozisyonlarını Pyongyang’ın hackleme kampanyalarını kolaylaştırmak için kullanabilecekleri konusunda uyardı. Federal savcılar bu yıl, Kuzey Kore vatandaşlarının Fortune 500 şirketleri için BT işleri elde ettiği ABD içinde dizüstü bilgisayar çiftlikleri işleterek Hermit Krallığı’nın yaptırımları aşmasına yardım etmekle suçlanan kişilere karşı çok sayıda suç duyurusunda bulundu.

Yeni bir kişinin kuşatılmış Kuzey Kore ekonomisine para akıttığını gösteren işaretlerden biri, IP tabanlı klavye video faresi kullanan bir dizüstü bilgisayarın yanı sıra AnyDesk veya Chrome Remote Desktop gibi uzaktan yönetim araçlarının kurulumudur. Mandiant, “Bu uzaktan yönetim çözümlerine olan bağlantılar öncelikle Astrill VPN ile ilişkili IP adreslerinden kaynaklandı ve muhtemelen Çin veya Kuzey Kore kaynaklıdır” dedi.

Diğerleri ise video görüşmelerine katılma konusundaki yüksek isteksizlik, İnternet Üzerinden Ses Protokolü numaraları olan telefon numaraları, tek bir sisteme kurulu birden fazla uzaktan yönetici aracı ve dizüstü bilgisayarları aktif tutan “fare sallama” yazılımıdır. Mandiant, “Dizüstü bilgisayarları açık ve çalışır durumda tutmak, genellikle aynı anda birçok işte çalışan ve çevrimiçi görünmeye ihtiyaç duyan Kuzey Kore BT çalışanları için çok önemli” dedi.

Şirket ayrıca Kuzey Koreli işçilerin kodlama kalitesini “ortalamanın altında” olarak nitelendirdi.

Güvenlik ve Teknoloji Enstitüsü’nün Fidye Yazılımı Görev Gücü, 2023 yılında dünya çapında kaydedilen fidye yazılımı olaylarında bir önceki yıla göre %73 artış olduğunu ve 6.670 saldırının kaydedildiğini bildirdi.

Görev gücünün perşembe günü yayınladığı bir raporda bu trend, siber suçluların maksimum kazanç elde etmek için yüksek değere sahip kuruluşları hedef aldığı büyük av avcılığına atfediliyor. En önemlisi, Clop grubu MOVEit dosya aktarım yazılımındaki güvenlik açıklarından yararlandı ve yaklaşık 666 olaya katkıda bulundu (bkz.: Veri İhlalinin Ücreti Clop Grubunun MOVEit Saldırı Artışına Bağlı).

Sağlık ve inşaat sektörleri en çok hedef alınan sektörler oldu ve hastaneler, 2022’de 89 olaydan 2023’te 177’ye çıkarak neredeyse iki kat daha fazla saldırı yaşadı. Hastaneler için ortalama kurtarma maliyeti 2,2 milyon dolara ulaştı ve fidye yazılımı ödemeleri hızla artarak 2023’te 1 milyar doları aştı ( Görmek: CMS, MOVEit Hack’inden 3,1 Milyon Kişinin Etkilendiğini Açıkladı).

Raporda, fidye yazılımıyla mücadelede hükümet ve sektörün artan çabalarına rağmen, hizmet olarak fidye yazılımı modelinin karlılığının saldırganları teşvik etmeye devam ettiği belirtiliyor.

MoneyGram International, para transfer sistemine yapılan bir siber saldırının Pazartesi günü hizmetleri çevrimdışına almaya zorlanmasının ardından Perşembe günü tekrar çevrimiçi oldu.

Merkezi Dallas, Teksas’ta bulunan MoneyGram, 200’den fazla ülkede yılda 200 milyar dolardan fazla işlem gerçekleştiriyor. MoneyGram tarafından bu ayın başında yayınlanan bir anket raporu, yurt dışına para göndermek için bu hizmeti kullananların neredeyse yarısının bunu aile yemek masraflarını karşılamak için yaptığını, üçte birinden fazlasının ise paranın acil durum masraflarını karşılamak için kullandığını söylediğini söylüyor. Üçte birinden fazlası bu hizmeti konut masraflarını karşılamak için kullandığını bildirdi.

Şubat ayında ABD Başkanı Joe Biden’ın sesinin yapay zeka derin sahtesini üreten siyasi danışman, federal düzenleyicilere 6 milyon dolar para cezası ödemek zorunda kalacak. ABD Federal İletişim Komisyonu Perşembe günü Demokrat Partili Steven Kramer’e ceza verdi. FCC Başkanı Jessica Rosenworcel, “Sesleri klonlamak ve bizi sahte ses ve görüntülerle boğmak için yapay zekayı kullanmak artık ucuz ve kolay” dedi. “Bunu gördüğümüzde seslenmeli ve bu dolandırıcılığı durdurmak için elimizdeki her aracı kullanmalıyız.”

Kramer, Şubat ayında Associated Press’e, çağrıların yapay zeka destekli deepfake’lerin tehlikeleri hakkında bir uyandırma çağrısı girişimi olduğunu söyledi. Daha sonra Biden’ın birincil rakibi Temsilci Dean Phillips için çalışan ve çağrıları kınayan Kramer, 21 Ocak’ta yaklaşık 4.000 potansiyel New Hampshire seçmenine sahte bir mesaj iletmek için 500 dolar ödedi ve bu seçmen, Biden’ın onları katılmamaya çağırdığını düşündükleri bir ses duydu. Demokratların ön seçimi.

FCC, Kramer’in cezayı ödemek için 30 günü olduğunu, aksi takdirde Adalet Bakanlığı’ndan tahsilatla karşı karşıya kalacağını söyledi. ABD’li telekom şirketi Lingo Telecom, çağrıları ilettiği için 1 milyon dolarlık cezayı zaten kabul etti. Kramer hâlâ New Hampshire’da seçmenlerin bastırıldığı iddiasıyla bağlantılı suçlamalarla karşı karşıya bulunuyor.

ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı Çarşamba günü, özellikle su ve atık su sistemlerine odaklanan, kritik altyapı ağlarını hedef alan siber saldırılara ilişkin bir uyarı yayınladı. Ajans, kaba kuvvet saldırıları ve varsayılan kimlik bilgilerinin kullanılması gibi “sofistike” yöntemlerin, saldırganların internete açık operasyonel teknolojiye erişmesine izin vermeye devam etmesi nedeniyle saldırganların aşırı bilgisayar korsanları olmasına gerek olmadığını söyledi.

CISA, operatörlere varsayılan şifreleri değiştirerek, çok faktörlü kimlik doğrulamayı etkinleştirerek, insan-makine arayüzlerini güvenlik duvarlarının arkasında güvence altına alarak, VNC kurulumlarını güçlendirerek ve en son yamaları uygulayarak savunmaları güçlendirmelerini tavsiye etti.

CISA’nın uyarısı, Pazar günü Arkansas City, Kansas’taki su arıtma tesisine düzenlenen siber saldırının ardından geldi (bkz: FBI ve ABD Ulusal Güvenlik Su Tesisi Siber Saldırısını Soruşturuyor).

Ukrayna Ulusal Siber Güvenlik Koordinasyon Merkezi, Rusya ile devam eden savaşın ortasında ulusal güvenlik endişeleri nedeniyle Telegram’ın devlet kurumlarında, askeri birimlerde ve kritik altyapılarda kullanımını yasakladı.

Ulusal Güvenlik ve Savunma Konseyi Sekreteri Oleksandr Lytvynenko, 19 Eylül’deki toplantıda Telegram’ın güvenlik risklerine dikkat çekti. Ukrayna Savunma İstihbarat Şefi Kyrylo Budanov, Rus istihbaratının silinmiş mesajlar da dahil olmak üzere kullanıcı verilerine potansiyel olarak erişebileceği ve bunun Telegram’ı ciddi bir güvenlik tehdidi haline getirebileceği konusunda uyardı.

Ukrayna Güvenlik Servisi ve Silahlı Kuvvetleri’nden yetkililer, Rusya’nın siber saldırılar, kimlik avı, kötü amaçlı yazılım dağıtımı ve füze saldırısı koordinasyonu için Telegram’ı aktif olarak kullandığını söyledi. Sonuç olarak NCCC, özellikle gerekli olduğu durumlar dışında uygulamayı hükümet, askeri ve kritik altyapı personeli tarafından kullanılan resmi cihazlarda kısıtladı.

Yasak sıradan vatandaşları kapsamıyor ve uygulama, Rus hava saldırılarına ilişkin uyarılar da dahil olmak üzere iletişim ve haber güncellemeleri için yaygın olarak kullanılıyor.

Palo Alto Networks’ün Unit 42 araştırmacılarına göre, APT43 olarak da bilinen Kuzey Kore bağlantılı tehdit grubu Kimsuky, KLogEXE ve FPSpy adlı iki yeni kötü amaçlı yazılım türü kullanıyor. Bu eklemeler, 2012’den bu yana aktif olan grubun yeteneklerini güçlendiriyor. ve hedef odaklı kimlik avı saldırılarıyla ünlüdür.

KLogEXE, daha önce Kimsuky’nin Japon kuruluşlarını hedef alan kampanyalarıyla bağlantılı bir keylogger olan InfoKey’in C++ sürümüdür. Tuş vuruşlarını ve fare tıklamalarını izler ve çalışan uygulamalar hakkında bilgi toplar.

Daha önce 2022’de AhnLab tarafından ortaya çıkarılan bir kötü amaçlı yazılım türü olan FPSpy, Kimsuky’nin sistem bilgilerini toplama, komutları çalıştırma, ek yükler indirme ve sürücü ve dosyaları numaralandırma yeteneğini geliştiriyor.