Siber Savaş / Ulus-Devlet Saldırıları, Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Andariel Grubu, 1,2 TB Veri Çalmak ve 357.000 Dolar Fidye Almak İçin Sunucu Kiraladı
Jayant Chakravarti (@JayJay_Tech) •
5 Aralık 2023
Seul polisi, Kuzey Koreli hacker grubu Andariel’i, Güney Kore savunma şirketlerinden hassas savunma sırlarını çalmak ve fidye yazılımı gelirlerini Kuzey Kore’ye geri göndermekle suçladı. Bilgisayar korsanları, gelişmiş uçaksavar silahlarına ilişkin bilgiler de dahil olmak üzere 1,2 TB veri çaldı.
Ayrıca bakınız: İnfografik I Siber Teyakkuz için En İyi 6 Uygulama
Seul Büyükşehir Polis Teşkilatı, Kuzey Koreli hacker grubunun, savunma şirketleri de dahil olmak üzere düzinelerce Güney Kore firmasını hacklemek için yerel bir sunucu kiralama şirketinden kiralanan sunucuları operasyon üssü olarak kullandığını söyledi. Kampanya ayrıca diğer özel sektör kuruluşlarından da zorla fidye aldı.
Bazı Güney Koreli şirketlerin “kurumsal güvenin azalmasına” neden olabileceğinden korktukları güvenlik olaylarıyla karşılaştıklarını bildirmelerinin ardından kolluk kuvvetleri bu yılın başında Andariel’in hackleme operasyonlarının boyutunu değerlendirmek için FBI ile ortak bir soruşturma yürüttü.
Soruşturma, Lazarus Grubu’nun bir alt grubu olduğuna inanılan Andariel’in Güney Koreli kuruluşlardan 1,2 terabayta kadar veri çaldığını ve ayrıca üç yerli ve yabancı şirketten fidye olarak toplam 470 milyon won (yaklaşık 357.000 dolar) değerinde bitcoin gasp ettiğini belirledi. .
Mandiant, Andariel’in Kuzey Kore istihbarat teşkilatı Keşif Genel Bürosu tarafından yönetildiğini ve Kuzey Kore rejiminin yararına istihbarat toplamak için öncelikle yabancı işletmeleri, devlet kurumlarını, savunma şirketlerini ve finansal hizmetler altyapısını hedef aldığını bildirdi.
Grup ayrıca operasyonlarını finanse etmek için siber suçlarla da ilgileniyor ve dünya çapındaki kuruluşları hedef almak için DTrack kötü amaçlı yazılımı ve Maui fidye yazılımı gibi özel oluşturulmuş araçları kullanıyor. Şubat ayında Güney Kore, totaliter rejimin nükleer ve füze geliştirme programlarını finanse etmek amacıyla yasa dışı siber faaliyetler yürüten Andariel ve diğer Kuzey Koreli bilgisayar korsanlığı gruplarına yaptırım uyguladı (bkz: Güney Kore Pyongyang Bilgisayar Korsanlarına Yaptırımlar).
Polis, Andariel’in, organizasyonları hedef almak için Güney Kore merkezli kiralık bir sunucuyla en az 83 bağlantı kurduğunu ve fidye yazılımı kurbanlarından elde edilen bitcoin’leri aklamak için yabancı bir kadının hesabını kullandığını söyledi. Müfettişler, bilgisayar korsanlarının “transit sunucusuna” bağlanmak için kullandıkları IP adreslerinin, Pyongyang şehir merkezinde ünlü bir turistik cazibe merkezi olan ve Kuzey Kore’nin en yüksek binası olan Ryugyong Oteli’ne ev sahipliği yapan Ryugyong-dong’da bulunduğunu buldu.
Polis, mağdur kuruluşlardan bazılarının bilgisayar korsanlığı saldırılarını polise bildirdiğini, bazılarının fidye ödemeyi seçtiğini ancak saldırıları bildirmediğini, savunma şirketleri de dahil olmak üzere bazı kuruluşların sistemlerinin saldırıya uğradığının farkında bile olmadığını söyledi.
Andariel, fidye yazılımı kurbanlarından şantaj yaparak elde edilen fonları aklamak için Bithumb ve Binance gibi çeşitli yerel ve offshore kripto para borsalarını kullandı ve yaklaşık 630.000 yuan veya 89.000 doları Çin’in Liaoning Eyaletindeki Çin K Bank’a aktardı. Bilgisayar korsanları daha sonra parayı Kuzey Kore-Çin sınırına yakın bir bölgeye aktardı ve parayı bir K Bank şubesinden çekti.
Polis, Andariel’in saldırı düzenlemek ve para aklamak için kullandığı yerel sunuculara ve sanal varlık borsalarına el koyduğunu ve fidye yazılımı fonlarını aktarmak için kullanılan hesabın sahibi kişiyi tutukladığını söyledi.
“Seul Büyükşehir Polis Teşkilatının Güvenlik Soruşturması Destek Departmanı, denizaşırı saldırılar, mağdurlar ve bu olaya karışan kişilerle ilgili ABD FBI gibi ilgili kurumlarla aktif olarak ortak soruşturmalar yürütürken, ek hasar vakalarını ve olası saldırı olasılığını araştırmaya devam ediyor. benzer hackleme girişimleri var” dedi ajans.
Polis, kuruluşlara, güvenlik açıklarını kontrol etmek, güvenlik yazılımını en son sürüme güncellemek ve bilgisayar korsanlarının gelecekte onları mağdur etmesini önlemek için önemli verileri şifrelemek gibi siber güvenlik önlemlerini güçlendirmelerini tavsiye etti. Polis ayrıca abonelerin kimliklerini doğrulamak ve sunucuların siber suç işlemek için kullanılmamasını sağlamak amacıyla sunucu kiralama şirketlerini de incelemeyi planlıyor.