Bulut tabanlı BT yönetim firması JumpCloud, finansal olarak kripto para birimleri çalmak için motive olmuş gibi görünen Kuzey Koreli Lazarus Group bilgisayar korsanları tarafından ele geçirildi.
Bu bilgisayar korsanlığı grubu en az 2009’dan beri aktiftir ve bankalar, hükümetler ve medya kuruluşları dahil olmak üzere önde gelen hedeflere yönelik uluslararası saldırılarıyla tanınmaktadır.
Şirket, kendisini Haziran ayında müşterilerinin API anahtarlarını sıfırlamaya zorlayan sistem ihlalinden bir ulus devlet aktörünün sorumlu olduğunu açıkladı.
Şirket, o sırada bilgisayar korsanlarının menşe ülkesini belirlemedi, ancak şimdi siber güvenlik firmaları CrowdStrike ve SentinelOne’daki araştırmacılar, bilgisayar korsanlarının Ronin Network ve Harmony’s Horizon Bridge gibi kripto varlıklarına saldırmasıyla tanınan tanınmış bir grup olan Lazarus olduğunu belirledi.
Ek olarak, SentinelOne’dan Tom Hegel, JumpCloud tarafından verilen uzlaşma belirtilerinin (IOC’ler) “Kuzey Kore’ye atfettiğimiz çok çeşitli faaliyetlerle bağlantılı” olduğunu doğruladı.
İzinsiz girişten Kuzey Kore’nin sorumlu olduğunu belirtti ve bilgisayar korsanlarının GitHub kullanıcılarını hedef alan yakın tarihli bir sosyal mühendislik çabasından da sorumlu olabileceği tahmininde bulundu.
Mandiant olay müdahale ekipleri de ihlalden Kuzey Kore’yi sorumlu tuttu. Ayrıca, ünlü Lazarus bilgisayar korsanlığı grubunun “Labyrinth Chollima” adlı alt grubu, kurumsal telefon üreticisi 3CX’teki son tedarik zinciri saldırılarıyla da bağlantılı bir alt grup, CrowdStrike tarafından JumpCloud saldırısından sorumlu tutuldu.
JumpCloud İhlalinin Özellikleri
JumpCloud, 27 Haziran’da bir kimlik avı girişimi nedeniyle sistemlerinde gelişmiş bir ulus-devlet destekli tehdit aktörü tarafından bir ihlal tespit etti.
JumpCloud, müşteri etkisine dair hemen bir kanıt olmamasına rağmen, kimlik bilgilerini hızlı bir şekilde döngüye soktu ve bir önlem olarak güvenliği ihlal edilmiş altyapıyı yeniden oluşturdu.
Daha sonra raporlar, JumpCloud’un “küçük bir müşteri grubu için komutlar çerçevesinde olağandışı etkinlik” keşfettiğini söylüyor. Ayrıca, günlükleri kötü amaçlı etkinlik belirtileri açısından inceledi ve olay müdahale ortakları ve kolluk kuvvetleriyle çalışırken tüm yönetici API anahtarlarının rotasyonunu zorunlu kıldı.
JumpCloud olay hakkında bilgi verdi ve iş ortaklarının ağlarını aynı gruptan gelen saldırılara karşı korumalarına yardımcı olmak için 12 Temmuz’da yayınlanan bir uyarıda uzlaşma belirtilerini (IOC’ler) ortaya çıkardı.
JumpCloud, saldırıyı Haziran ayında Kuzey Koreli bir APT grubunun gerçekleştirdiğini doğruladı.
JumpCloud CISO’su Bob Phan’a göre, “Önemli olarak, çeşitli kimlik, erişim, güvenlik ve yönetim işlevleri için JumpCloud platformuna güvenen 200.000’den fazla kuruluştan 5’ten az JumpCloud müşterisi ve toplamda 10’dan az cihaz etkilendi. Etkilenen tüm müşteriler doğrudan bilgilendirildi”.
En son Siber Güvenlik Haberleri ile güncel kalın; bizi takip edin Google Haberleri, Linkedin, twitter, Ve Facebook.