ESET Research, bulaşıcı röportaj olarak da adlandırılan Alınan Geliştirme hakkında yeni bulgular yayınladı. Bu Kuzey Kore uyumlu grup son yıllarda daha aktif hale geldi ve kripto para birimini çalmaya odaklanıyor. Windows, Linux ve MacOS sistemlerinde çalışan serbest geliştiricileri hedefler.
Geliştiriciler için büyüyen bir tehdit
Grubun kampanyaları, kötü amaçlı yazılımları yaymak ve kripto para birimini çalmak için sahte iş görüşmeleri ve ClickFix olarak bilinen bir yöntem de dahil olmak üzere sosyal mühendislik hilelerini kullanıyor.
ESET ayrıca, hileli iş planlarına katılan Kuzey Koreli BT çalışanları hakkında açık kaynaklı zeka verilerini de gözden geçirdi. Bu bilgiler, bu işçileri aldatmacaya bağlar ve grubun nasıl çalıştığı hakkında fikir verir.
Alınan geliştirme en az 2023’ten beri aktiftir ve finansal güdüler tarafından yönlendirilir. Kripto para birimi ve Web3 projelerinde geliştiricileri hedefler. Grup, ClickFix ve Lazarus’un DreamJob Operasyonu’na benzer sahte işe alım profilleri gibi teknikler kullanarak sosyal mühendislik yoluyla erişim kazanıyor. Temas yapıldıktan sonra, aşamalı iş görüşmeleri sırasında truva kodları sunar. Kullandığı en yaygın kötü amaçlı yazılımlar arasında Beaverail, Ottercookie ve Weaselstore Infostealers’ın yanı sıra InvisibleFerret Modüler Uzaktan Erişim Aracı bulunmaktadır.
“Alınan geliştirme operatörleri, sosyal medyada sahte işe alım profillerini, Lazarus’un Operasyonu DreamJob’a benzer bir şekilde kullanıyorlar. Ancak bu durumda, özellikle kripto para birimi projelerine katılan yazılım geliştiricilerine, bir iş görüşmesi sürecinin bir parçası olarak petrop-saut’ların bir parçası olarak backdoors ile potansiyel kurbanlar sağlayan, özellikle kripto para birimi projelerine katılanlara ulaştılar. Kálnai, “Tüm bu etkinliklerin arkasındaki bireyler, geniş bir operasyon ve son derece yaratıcı sosyal mühendislik için üst düzey teknik karmaşıklık ticareti yapıyor. Kötü amaçlı yazılımları çoğunlukla basit, ancak teknoloji meraklısı hedefleri bile çekmeyi başarıyorlar” diye ekliyor.
Sahte iş görüşmeleri nasıl kötü amaçlı yazılımlara yol açar?
Saldırganlar, sosyal mühendisliğe dayanarak kurbanları tehlikeye atmak için farklı yöntemler kullanıyorlar. Sahte veya kaçırılmış profiller oluştururlar ve LinkedIn, Upwork, Freelancer.com ve Kripto İşler listesinde işe alım görevlisi olarak poz verirler. Bir hedefin ilgisini çekmek için sahte iş fırsatları sunarlar. Birisi etkileşime geçtikten sonra, bir kodlama zorluğu veya görüşme öncesi görevi tamamlamaları istenir.
Sahte işe alım hesaplarının ötesinde, saldırganlar ClickFix adlı bir sosyal mühendislik tekniğini uyarladılar. Mağdurlar sahte bir iş görüşmesi sitesine yönlendirilir ve bu süreçte önemli zaman geçiren ayrıntılı bir başvuru formu doldurmaları istenir.
Son aşamada, site onlardan bir video cevabı kaydetmelerini ister. Kamera çalışamadığında, site bir hata mesajı gösterir ve “nasıl düzeltilir” etiketli bir bağlantı sağlar. Talimatları takiben, kurbanlar bir terminal açar ve sorunu çözmek için bir komutta yapıştırır, ancak bunun yerine kötü amaçlı yazılım yükler ve çalıştırır.
Daha geniş bir sahtekarlık kampanyasına bağlantılar
ESET’in araştırması telemetri verilerine ve grubun araçlarının tersine mühendisliğine dayanmaktadır. Ayrıca, aldatıcı geliştirmeyi, sahtekarlığa karışan Kuzey Koreli BT işçileri tarafından yürütülen daha geniş bir kampanyaya bağlar. FBI’a göre, bu kampanya en az Nisan 2017’den beri aktif ve son yıllarda büyüdü.
Mayıs 2022 Ortak Danışmanlığı’nda FBI, kampanyayı Kuzey Koreli işçilerin denizaşırı şirketlerde iş bulma çabası olarak koordine edilmiş bir çaba olarak nitelendirdi. Daha sonra maaşları Kuzey Kore’ye geri döndü. İşçiler ayrıca iç şirket verilerini çaldılar ve Ocak 2025’te FBI tarafından belirtildiği gibi gasp için kullandılar.
ESET, açık kaynaklı zeka verileri, sahte özgeçmişler ve bu işçilerin Batı ülkelerinde, özellikle ABD’de iş ve sözleşme çalışmalarına odaklandıkları diğer materyallerde kanıt buldu. Ancak grup, Fransa, Polonya, Ukrayna ve Arnavutluk’ta hedefleri olan Avrupa’ya doğru değişti. Yapay zekayı çalışmalarına yardımcı olmak ve gerçekçi sahte profiller yaratmak için kullanırlar. AI araçları, özgeçmişlerdeki fotoğrafları değiştirmek ve hatta kullandıkları yanlış kimliğe uyacak şekilde gerçek zamanlı görüntülü görüşmelerde yüzleri değiştirmek için kullanılır.
Proxy görüşme riskleri
Bu işçiler planlarını gerçekleştirmek için Zoom, Mirotalk, FreeConference ve Microsoft ekipleri gibi platformlara güveniyor. Proxy görüşmesi işverenler için ciddi bir risk oluşturmaktadır. Yaptırımlı bir ülkeden birini işe almak sadece etik dışı veya potansiyel olarak verimsiz değildir, aynı zamanda içeriden gelen tehditlere ve önemli güvenlik risklerine de yol açabilir.
Kálnai, “Kuzey Koreli BT işçilerinin faaliyetleri melez bir tehdit oluşturuyor. Bu işe alım sahtekarlığı planı, kimlik hırsızlığı ve sentetik kimlik sahtekarlığı gibi klasik ceza operasyonlarını hem geleneksel bir suç hem de siber suç olarak sınıflandıran dijital araçlarla birleştiriyor” diyor.