Uzak işçiler olarak maskelenen Kuzey Koreli BT işçileri, Batılı şirketlere giriyor, gizli kaynak kodlarını çalıyor ve fidye tahliyesi talep ediyorlar.
Federal Soruşturma Bürosu (FBI) tarafından işaretlenen bu ortaya çıkan tehdit, uluslararası yaptırımlardan kaçarken rejim için gelir elde etmeyi amaçlayan Kuzey Kore’nin siber operasyonlarının gelişen taktiklerinin altını çiziyor.
Genellikle “BT savaşçıları” olarak adlandırılan Kuzey Koreli BT işçileri, yazılım geliştirme ve BT rollerinde uzaktan işleri güvence altına almak için hileli kimlikler kullanırlar.
İşe alım süreçlerindeki güvenlik açıklarından yararlanırlar, çalıntı kimliklerden, AI-geliştirilmiş kimlik bilgilerini ve sofistike sosyal mühendislik tekniklerinden yararlanırlar.
Gasp için Kaynak Kodunu Çalma
Kullanıldıktan sonra, bu operatörler GitHub gibi platformlarda barındırılan kaynak kodu depoları da dahil olmak üzere tescilli sistemlere erişim sağlar ve hassas verileri dışarı atar.
Çalınan veriler daha sonra gasp şemalarında silahlandırılır. Birçok durumda, bu operatörler çalınan kaynak kodlarını veya diğer fikri mülkiyeti sızdırmamak karşılığında kripto para ödemeleri talep eder.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free
Bu yeni saldırı dalgası, fidye yazılımı unsurlarını içeriden tehditlerle birleştiriyor. Bu Kuzey Koreli operatörler, dosyaları şifreleyen ve şifre çözme anahtarları için ödeme talep eden geleneksel fidye yazılımlarının aksine, şifrelenmemiş kaynak kodlarını doğrudan alırlar.
Bu taktik, kötü amaçlı yazılım dağıtımına ihtiyaç duymadan gasp için kaldıraç sağlar. FBI, bu BT işçilerinin genellikle tüm kod depolarını kişisel bulut hesaplarına veya harici cihazlara kopyalayarak şirketleri önemli risk altında tuttuğunu belirtti.
FBI, “Şirket ağlarında keşfedildikten sonra, Kuzey Koreli BT işçileri, şirketler fidye taleplerini karşılayana kadar çalıntı tescilli veriler ve kod rehineleri tutarak kurban ettiler” dedi.
“Kuzey Koreli BT çalışanları, GitHub gibi şirket kod depolarını kendi kullanıcı profillerine ve kişisel bulut hesaplarına kopyaladılar”.
Ayrıca, Kuzey Koreli BT personeli, kuruluşun sahip olmadığı cihazlardan çalışmaya başlamak ve uzlaşmanın başka yollarını bulmak için gizli bilgi ve oturum çerezleri almaya çalışabilir.
Finansal sonuçlar şiddetlidir. Son altı yılda, Kuzey Kore’nin BT sahtekarlığı planlarının maaş ve gasp ödemeleri yoluyla en az 88 milyon dolar gelir elde ettiği bildiriliyor.
Dahası, kaynak kodlarının çalınması stratejik bir tehdit oluşturmaktadır. Tescilli yazılım yıllarca süren yatırım ve yeniliği temsil eder. Hırsızlığı, sahte ürünlere, güvenlik açıklarının sömürülmesine ve rekabet avantajının kaybına yol açabilir.
Kuruluşların bu planlarla ilişkili birkaç kırmızı bayrak izlemeleri tavsiye edilir:
- Olağandışı Ağ Etkinliği: Kısa zaman dilimlerinde farklı IP adreslerinden çoklu girişler veya özel kod depolarına yetkisiz erişim.
- Şüpheli İşe Alım Desenleri: Birden fazla iş başvurusunda özdeş özgeçmiş veya iletişim bilgileri kullanan başvuru sahipleri.
- Davranışsal Anomaliler: Çalışanlar kurumsal ekipmanları yeniden yönlendiren veya işe alım süreçleri sırasında video görüşmelerinden kaçınan çalışanlar
Öneriler
Bu tehdide karşı koymak için FBI, sağlam güvenlik protokollerinin uygulanmasını önerir:
- En az ayrıcalık ilkesi: Hassas sistemlere erişimi sınırlayın ve gereksiz idari hesapları devre dışı bırakın.
- Geliştirilmiş işe alım uygulamaları: Görüşmeler ve işe alım sırasında kapsamlı kimlik doğrulaması yapın. Başvuru sahiplerinin kimliklerini onaylamak için video görüşmelerini kullanın.
- Veri Kaybı Önleme (DLP) Araçları: N-gram tabanlı metin kategorizasyonu gibi yöntemlerle kaynak kodu sızıntısını tanımlayabilen gelişmiş DLP çözümleri kullanın.
- Ağ İzleme: Yetkisiz veri eksfiltrasyonu veya olağandışı uzak masaüstü etkinliği belirtileri için ağ günlüklerini düzenli olarak denetleyin.
Kuzey Koreli BT operatörleri tarafından ortaya çıkan tehdit, siber güvenlik ve işe alım uygulamalarında artan uyanıklık ihtiyacını vurgulamaktadır.
Bu planlar geliştikçe, işletmeler fikri mülklerini korumak ve içeriden gelen tehditlerle ilişkili riskleri azaltmak için proaktif önlemler almalıdır.
FBI, Kuzey Koreli BT işçilerinin internet suçu Şikayet Merkezi (IC3) aracılığıyla olayları derhal bildirmeye şüphelenen kuruluşları çağırıyor.
Jenkins & Jira -> Ücretsiz Web Semineri kullanarak uygulama güvenliğini CI/CD iş akışlarınıza entegre etmek